Som en grupp forskare från ESET i Taiwan upptäckte rapporterades det för några dagar sedan att Plead-skadlig programvara användes av BlackTech-gruppen i riktade attacker med fokus på cyberspioneringsaktiviteter, särskilt i asiatiska länder. Det här programmet verkar ha distribuerats genom komprometterade routrar som missbrukar ASUS WebStorage-tjänsten.
Det hände i slutet av april när de observerade flera försök att sprida Plead-skadlig programvara på ovanliga sätt. Pleads bakdörr skapades och kördes med en legitim process som heter AsusWSPanel.exe. Denna process tillhör en molnlagringstjänstklient som heter ASUS WebStorage. Den körbara filen befanns också signeras digitalt av ASUS Cloud Corporation. Det behöver inte sägas att ESET-forskare redan har meddelat ASUS om vad som hände.
MitM Attack (Man i mitten)
Från ESET misstänker de också att det kan vara ett "man-i-mitten" -attack, som översätts till spanska betyder "man i mitten" -attack eller "mellanmanattack". Förmodligen skulle ASUS WebStorage-programvara vara sårbar för sådana attacker , som skulle ha ägt rum under ASUS-uppdateringsprocessen för att leverera Plead-bakdörren till sina offer.
Som det har blivit känt innebär uppdateringsmekanismen för ASUS WebStorage att skicka en begäran från klienten om en uppdatering med HTTP. När inbjudan tas emot svarar servern i XML-format, med en guid och en länk som ingår i svaret. Programvaran kontrollerar sedan om den installerade versionen är äldre än den senaste versionen. Om så är fallet, begär sedan en binär med den angivna URL: n.
Detta är när angriparna kan utlösa uppdateringen genom att ersätta dessa två objekt med egna data. Bilden ovan visar oss vilket är det mest troliga scenariot som används för att infoga skadliga nyttolaster på specifika mål genom komprometterade routrar.