Според група изследователи от ESET в Тайван, преди няколко дни беше съобщено, че зловредният софтуер Plead се използва от групата BlackTech в целенасочени атаки, фокусирани върху кибер шпионаж, особено в азиатските страни. Изглежда, че тази програма се разпространява чрез компрометирани рутери, злоупотребяващи с услугата ASUS WebStorage.
Това се случи в края на април, когато те наблюдават множество опити за разпространение на зловредния софтуер Plead по необичайни начини. Бекдорът, вграден в Plead, беше създаден и стартиран чрез легитимен процес, наречен AsusWSPanel.exe. Този процес принадлежи на клиент на услуги за съхранение в облак, наречен ASUS WebStorage. Установено е също, че изпълнимият файл е с цифров подпис от ASUS Cloud Corporation. Излишно е да казвам, че изследователите на ESET вече са уведомили ASUS за случилото се.
MitM Attack (Човек в средата)
От ESET също имат подозрение, че това може да е атака „човек в средата“, което в превод на испански означава „атака от средата“ или „атака на среден човек“. Предполага се, че софтуерът ASUS WebStorage ще бъде уязвим на подобни атаки , които биха се осъществили по време на процеса на актуализация на приложението ASUS, за да доставят Plead обратно на жертвите си.
Както стана известно, механизмът за актуализация на ASUS WebStorage включва изпращане на заявка от клиента за актуализация чрез HTTP. След като поканата бъде получена, сървърът отговаря в XML формат, като в отговора е включено ръководство и връзка. След това софтуерът проверява дали инсталираната версия е по-стара от последната версия. В случай, че е, тогава заявете двоичен файл, използвайки предоставения URL адрес.
Това е моментът, когато нападателите могат да задействат актуализацията, като заменят тези два елемента, използвайки свои собствени данни. Илюстрацията по-горе ни показва кой е най-вероятният сценарий, използван за вмъкване на злонамерени полезни товари на конкретни цели чрез компрометирани рутери.