Potrivit unui grup de cercetători de la ESET din Taiwan, în urmă cu câteva zile s-a raportat că malware-ul Plead era folosit de grupul BlackTech în atacuri vizate axate pe activități de spionaj cibernetic, în special în țările asiatice. Acest program pare să fi fost distribuit prin routere compromise care utilizează în mod greșit serviciul ASUS WebStorage.
S-a întâmplat la sfârșitul lunii aprilie, când au observat mai multe încercări de a răspândi malware-ul Plead în moduri neobișnuite. Backdoor-ul Plead a fost creat și rulat folosind un proces legitim numit AsusWSPanel.exe. Acest proces aparține unui client de servicii de stocare în cloud numit ASUS WebStorage. S-a constatat că fișierul executabil este semnat digital de către ASUS Cloud Corporation. Inutil să spun că cercetătorii ESET au notificat deja ASUS despre cele întâmplate.
MitM Attack (Man in the Middle)
De la ESET, ei au, de asemenea, suspiciunea că ar putea fi un atac „om în mijloc”, care tradus în spaniolă înseamnă „atac în mijlocul omului” sau „atac în mijlocul omului”. Se presupune că software-ul ASUS WebStorage ar fi vulnerabil la astfel de atacuri , care ar fi avut loc în timpul procesului de actualizare a aplicației ASUS pentru a livra backdoor-ul Plead către victimele sale.
După cum a devenit cunoscut, mecanismul de actualizare pentru ASUS WebStorage implică trimiterea unei cereri de către client pentru o actualizare utilizând HTTP. Odată ce invitația este primită, serverul răspunde în format XML, cu un ghid și un link inclus în răspuns. Software-ul verifică apoi dacă versiunea instalată este mai veche decât cea mai recentă versiune. În cazul în care este, solicitați un binar folosind URL-ul furnizat.
Acesta este momentul în care atacatorii pot declanșa actualizarea prin înlocuirea acestor două elemente folosind propriile date. Ilustrația de mai sus ne arată care este cel mai probabil scenariu utilizat pentru a insera sarcini utile rău intenționate pe anumite ținte prin intermediul routerelor compromise.