Ifølge en gruppe forskere fra ESET i Taiwan blev det for et par dage siden rapporteret, at Plead-malware blev brugt af BlackTech-gruppen i målrettede angreb med fokus på cyberspioneringsaktiviteter , især i asiatiske lande. Dette program ser ud til at være distribueret gennem kompromitterede routere, der misbruger ASUS WebStorage-tjenesten.
Det skete i slutningen af april, da de observerede flere forsøg på at sprede Plead-malware på usædvanlige måder. Pleads bagdør blev oprettet og kørt ved hjælp af en legitim proces kaldet AsusWSPanel.exe. Denne proces tilhører en cloud storage-tjenester klient kaldet ASUS WebStorage. Den eksekverbare fil blev også fundet at være signeret digitalt af ASUS Cloud Corporation. Det er overflødigt at sige, at ESET-forskere allerede har underrettet ASUS om, hvad der skete.
MitM Attack (mand i midten)
Fra ESET har de også mistanke om, at det kunne være et "mand-i-midten" angreb, som oversat til spansk betyder "mand i midten" angreb eller "mellemmand angreb". Formentlig ville ASUS WebStorage-softwaren være sårbar over for sådanne angreb , som ville have fundet sted under processen med opdatering af ASUS-applikationen for at levere Plead-bagdøren til sine ofre.
Som det er blevet kendt, indebærer opdateringsmekanismen for ASUS WebStorage at sende en anmodning fra klienten om en opdatering ved hjælp af HTTP. Når invitationen er modtaget, reagerer serveren i XML-format med en guid og et link inkluderet i svaret. Softwaren kontrollerer derefter, om den installerede version er ældre end den seneste version. Hvis det er tilfældet, skal du anmode om en binær ved hjælp af den angivne URL.
Dette er når angriberne kan udløse opdateringen ved at erstatte disse to emner ved hjælp af deres egne data. Illustrationen ovenfor viser os, hvilket er det mest sandsynlige scenario, der bruges til at indsætte ondsindede nyttelast på specifikke mål gennem kompromitterede routere.