Tayvan'daki ESET'ten bir grup araştırmacıya göre, birkaç gün önce Plead kötü amaçlı yazılımının BlackTech grubu tarafından özellikle Asya ülkelerinde siber casusluk faaliyetlerine odaklanan hedefli saldırılarda kullanıldığı bildirilmişti . Bu programın, ASUS WebStorage hizmetini kötüye kullanan güvenliği ihlal edilmiş yönlendiriciler aracılığıyla dağıtıldığı görülmektedir.
Bu, Nisan ayı sonlarında Plead kötü amaçlı yazılımını alışılmadık şekillerde yaymak için birden fazla girişimde bulunduklarında gerçekleşti . Plead'de yerleşik olarak bulunan arka kapı, AsusWSPanel.exe adlı yasal bir işlem kullanılarak oluşturuldu ve çalıştırıldı. Bu işlem, ASUS WebStorage adlı bir bulut depolama hizmetleri istemcisine aittir. Yürütülebilir dosyanın ayrıca ASUS Cloud Corporation tarafından dijital olarak imzalandığı biliniyordu. Söylemeye gerek yok, ESET araştırmacıları ne olduğunu ASUS'a çoktan bildirdi.
MitM Saldırısı (Ortadaki Adam)
ESET'ten, bunun bir "ortadaki adam" saldırısı olabileceğinden şüpheleniyorlar ve İspanyolcaya "ortadaki adam" saldırısı veya "orta adam saldırısı" anlamına geliyor. Sözüm ona , ASUS WebStorage yazılımı , mağdurlarına Plead arka kapısını teslim etmek için ASUS uygulama güncelleme işlemi sırasında meydana gelen bu tür saldırılara karşı savunmasız olacaktır.
Bilindiği üzere, ASUS WebStorage için güncelleme mekanizması, HTTP kullanarak bir güncelleme için istemci tarafından bir talep gönderilmesini içerir. Davet alındıktan sonra, sunucu, bir kılavuz ve yanıta dahil edilen bir bağlantıyla XML biçiminde yanıt verir. Yazılım daha sonra kurulu sürümün en son sürümden daha eski olup olmadığını kontrol eder. Öyleyse, sağlanan URL'yi kullanarak bir ikili dosya isteyin.
Bu, saldırganların bu iki öğeyi kendi verilerini kullanarak değiştirerek güncellemeyi tetikleyebildiği zamandır . Yukarıdaki çizim, güvenliği ihlal edilmiş yönlendiriciler aracılığıyla belirli hedeflere kötü amaçlı yükler eklemek için kullanılan en olası senaryo olduğunu göstermektedir.