Volgens een groep onderzoekers van ESET in Taiwan werd een paar dagen geleden gemeld dat de Plead-malware werd gebruikt door de BlackTech-groep bij gerichte aanvallen gericht op cyberspionageactiviteiten, vooral in Aziatische landen. Dit programma lijkt te zijn verspreid via gecompromitteerde routers die de ASUS WebStorage-service misbruiken.
Het gebeurde eind april toen ze meerdere pogingen observeerden om de Plead-malware op ongebruikelijke manieren te verspreiden . De achterdeur van Plead is gemaakt en wordt uitgevoerd met behulp van een legitiem proces genaamd AsusWSPanel.exe. Dit proces behoort tot een client voor cloudopslagservices die ASUS WebStorage heet. Het uitvoerbare bestand was ook bekend als digitaal ondertekend door ASUS Cloud Corporation. Onnodig te zeggen dat ESET-onderzoekers ASUS al op de hoogte hebben gesteld van wat er is gebeurd.
MitM Attack (Man in the Middle)
Van ESET hebben ze ook het vermoeden dat het een 'man-in-the-middle'-aanval zou kunnen zijn, wat in het Spaans vertaald' man in the middle'-aanval of 'middle man-aanval' betekent. Vermoedelijk zou ASUS WebStorage-software kwetsbaar zijn voor dergelijke aanvallen , die zouden hebben plaatsgevonden tijdens het updateproces van de ASUS-applicatie om de Plead-achterdeur naar de slachtoffers te bezorgen.
Zoals bekend is geworden, omvat het updatemechanisme voor ASUS WebStorage het verzenden van een verzoek door de client voor een update via HTTP. Zodra de uitnodiging is ontvangen, reageert de server in XML-formaat, met een guid en een link in het antwoord. De software controleert vervolgens of de geïnstalleerde versie ouder is dan de laatste versie. Als dit het geval is, vraag dan een binair bestand aan met behulp van de opgegeven URL.
Dit is het moment waarop de aanvallers de update kunnen activeren door deze twee items te vervangen met hun eigen gegevens. De bovenstaande illustratie toont ons wat het meest waarschijnlijke scenario is dat wordt gebruikt om kwaadaardige ladingen op specifieke doelen in te voegen via gecompromitteerde routers.