За словами групи дослідників з Тайваню ESET, кілька днів тому повідомлялося, що шкідливе програмне забезпечення Plead використовується групою BlackTech для цілеспрямованих атак, спрямованих на кібершпигунську діяльність, особливо в країнах Азії. Здається, ця програма розповсюджувалася через компрометовані маршрутизатори, які зловживають послугою ASUS WebStorage.
Це сталося наприкінці квітня, коли вони спостерігали неодноразові спроби розповсюдження шкідливого програмного забезпечення Plead незвичними способами. Бекдор, вбудований у Plead, був створений та запущений за допомогою законного процесу під назвою AsusWSPanel.exe. Цей процес належить клієнту хмарних служб зберігання, який називається ASUS WebStorage. Також було встановлено, що виконуваний файл має цифровий підпис ASUS Cloud Corporation. Що й казати, дослідники ESET вже повідомили ASUS про те, що сталося.
MitM Attack (Людина посередині)
У ESET також мають підозру, що це може бути атака "людина посередині", що в перекладі з іспанської означає "атака людини посередині" або "атака середньої людини". Можливо, програмне забезпечення ASUS WebStorage буде вразливе для таких атак , які мали б місце в процесі оновлення програми ASUS доставити благати задні двері свого жертвам.
Як стало відомо, механізм оновлення для ASUS WebStorage передбачає надсилання клієнтом запиту на оновлення за допомогою HTTP. Після отримання запрошення сервер відповідає у форматі XML, включаючи в нього відповідне керівництво та посилання. Потім програмне забезпечення перевіряє, чи встановлена версія старіша за останню. Якщо це так, то запитуйте двійковий файл, використовуючи надану URL-адресу.
Це коли зловмисники можуть ініціювати оновлення, замінивши ці два елементи, використовуючи власні дані. Наведена вище ілюстрація показує нам, який найбільш вірогідний сценарій використовується для вставки шкідливих корисних навантажень на конкретні цілі через скомпрометовані маршрутизатори.