Come ha scoperto un gruppo di ricercatori di ESET a Taiwan, pochi giorni fa è stato riferito che il malware Plead veniva utilizzato dal gruppo BlackTech in attacchi mirati incentrati su attività di spionaggio informatico, soprattutto nei paesi asiatici. Questo programma sembra essere stato distribuito tramite router compromessi che utilizzano in modo improprio il servizio ASUS WebStorage.
È successo alla fine di aprile, quando hanno osservato più tentativi di diffondere il malware Plead in modi insoliti. La backdoor di Plead è stata creata ed eseguita utilizzando un processo legittimo chiamato AsusWSPanel.exe. Questo processo appartiene a un client di servizi di archiviazione cloud chiamato ASUS WebStorage. Il file eseguibile era noto anche per essere firmato digitalmente da ASUS Cloud Corporation. Inutile dire che i ricercatori di ESET hanno già informato ASUS dell'accaduto.
MitM Attack (Man in the Middle)
Da ESET, hanno anche il sospetto che potrebbe essere un attacco "man-in-the-middle", che tradotto in spagnolo significa "attacco man in the middle" o "attacco middle man". Presumibilmente, il software ASUS WebStorage sarebbe vulnerabile a tali attacchi , che si sarebbero verificati durante il processo di aggiornamento dell'applicazione ASUS per fornire la backdoor di Plead alle sue vittime.
Come è noto, il meccanismo di aggiornamento per ASUS WebStorage prevede l'invio da parte del client di una richiesta di aggiornamento tramite HTTP. Una volta ricevuto l'invito, il server risponde in formato XML, con un guid e un link inclusi nella risposta. Il software controlla quindi se la versione installata è precedente all'ultima versione. In tal caso, richiedi un file binario utilizzando l'URL fornito.
In questo momento gli aggressori possono attivare l'aggiornamento sostituendo questi due elementi utilizzando i propri dati. L'illustrazione sopra ci mostra qual è lo scenario più probabile utilizzato per inserire payload dannosi su target specifici tramite router compromessi.