Udaje im się przełamać zabezpieczenia usługi ASUS WebStorage poprzez złośliwe oprogramowanie Plead

Udaje im się przełamać zabezpieczenia usługi ASUS WevStorage poprzez złośliwe oprogramowanie Plead

Według grupy badaczy z firmy ESET na Tajwanie, kilka dni temu zgłoszono, że złośliwe oprogramowanie Plead było wykorzystywane przez grupę BlackTech w ukierunkowanych atakach ukierunkowanych na działania cyberszpiegowskie , zwłaszcza w krajach azjatyckich. Wygląda na to, że ten program był rozpowszechniany przez zainfekowane routery nadużywające usługi ASUS WebStorage.

Stało się to pod koniec kwietnia, kiedy zaobserwowali wiele prób rozpowszechniania złośliwego oprogramowania Plead w nietypowy sposób. Backdoor wbudowany w Plead został utworzony i uruchomiony przy użyciu legalnego procesu o nazwie AsusWSPanel.exe. Ten proces należy do klienta usług przechowywania w chmurze o nazwie ASUS WebStorage. Plik wykonywalny został również podpisany cyfrowo przez firmę ASUS Cloud Corporation. Nie trzeba dodawać, że badacze ESET powiadomili już firmę ASUS o tym, co się stało.

człowiek w środku

MitM Attack (Man in the Middle)

Firma ESET podejrzewa również, że może to być atak typu „man-in-the-middle”, co w języku hiszpańskim oznacza „atak mężczyzny w środku” lub „atak środkowego mężczyzny”. Przypuszczalnie  oprogramowanie ASUS WebStorage byłoby podatne na takie ataki , które miałyby miejsce podczas procesu aktualizacji aplikacji ASUS w celu dostarczenia swoim ofiarom backdoora Plead.

Jak się dowiedzieliśmy, mechanizm aktualizacji ASUS WebStorage polega na wysłaniu przez klienta żądania aktualizacji przy użyciu protokołu HTTP. Po otrzymaniu zaproszenia serwer odpowiada w formacie XML, przesyłając identyfikator guid i łącze zawarte w odpowiedzi. Oprogramowanie sprawdza następnie, czy zainstalowana wersja jest starsza od najnowszej. W takim przypadku poproś o plik binarny, korzystając z podanego adresu URL.

To wtedy atakujący mogą wywołać aktualizację, zastępując te dwa elementy ich własnymi danymi. Powyższa ilustracja pokazuje nam, który jest najbardziej prawdopodobnym scenariuszem używanym do wstawiania złośliwych ładunków do określonych celów za pośrednictwem zainfekowanych routerów.