Laut einer Gruppe von Forschern von ESET in Taiwan wurde vor einigen Tagen berichtet, dass die Plead-Malware von der BlackTech-Gruppe bei gezielten Angriffen auf Cyberspionageaktivitäten , insbesondere in asiatischen Ländern, eingesetzt wurde. Dieses Programm wurde anscheinend über kompromittierte Router verbreitet, die den ASUS WebStorage-Dienst missbrauchen.
Es geschah Ende April, als sie mehrere Versuche beobachteten, die Plead-Malware auf ungewöhnliche Weise zu verbreiten. Die Hintertür von Plead wurde mit einem legitimen Prozess namens AsusWSPanel.exe erstellt und ausgeführt. Dieser Prozess gehört zu einem Cloud Storage Services-Client namens ASUS WebStorage. Es wurde auch festgestellt, dass die ausführbare Datei von der ASUS Cloud Corporation digital signiert ist. Es ist unnötig zu erwähnen, dass ESET-Forscher ASUS bereits darüber informiert haben, was passiert ist.
MitM Attack (Mann in der Mitte)
Von ESET haben sie auch den Verdacht, dass es sich um einen "Man-in-the-Middle" -Angriff handeln könnte, der ins Spanische übersetzt "Man-in-the-Middle" -Angriff oder "Middle-Man-Angriff" bedeutet. Angeblich wäre die ASUS WebStorage-Software anfällig für solche Angriffe , die während des Aktualisierungsprozesses der ASUS-Anwendung stattgefunden hätten, um den Opfern die Hintertür von Plead zu liefern.
Bekanntlich umfasst der Aktualisierungsmechanismus für ASUS WebStorage das Senden einer Anforderung des Clients für ein Update über HTTP. Sobald die Einladung empfangen wurde, antwortet der Server im XML-Format, wobei eine Guid und ein Link in der Antwort enthalten sind. Die Software prüft dann, ob die installierte Version älter als die neueste Version ist. Fordern Sie in diesem Fall eine Binärdatei unter Verwendung der angegebenen URL an.
In diesem Fall können die Angreifer das Update auslösen, indem sie diese beiden Elemente durch ihre eigenen Daten ersetzen . Die obige Abbildung zeigt uns, welches Szenario am wahrscheinlichsten ist, um böswillige Nutzdaten über gefährdete Router an bestimmten Zielen einzufügen.