Selon un groupe de chercheurs d'ESET à Taïwan, il a été rapporté il y a quelques jours que le malware Plead était utilisé par le groupe BlackTech dans des attaques ciblées axées sur des activités de cyberespionnage, en particulier dans les pays asiatiques. Ce programme semble avoir été distribué via des routeurs compromis utilisant mal le service ASUS WebStorage.
Cela s'est produit à la fin du mois d'avril lorsqu'ils ont observé plusieurs tentatives de propagation du malware Plead de manière inhabituelle. La porte dérobée de Plead a été créée et exécutée à l'aide d'un processus légitime appelé AsusWSPanel.exe. Ce processus appartient à un client de services de stockage cloud appelé ASUS WebStorage. Le fichier exécutable a également été signé numériquement par ASUS Cloud Corporation. Inutile de dire que les chercheurs d'ESET ont déjà informé ASUS de ce qui s'est passé.
Attaque MitM (homme au milieu)
D'après ESET, ils soupçonnent également qu'il pourrait s'agir d'une attaque "man-in-the-middle", qui se traduit en espagnol par une attaque "man in the middle" ou "middle man attack". On suppose que le logiciel ASUS WebStorage serait vulnérable à de telles attaques , qui auraient eu lieu pendant le processus de mise à jour de l'application ASUS pour fournir la porte dérobée Plead à ses victimes.
Comme cela a été appris, le mécanisme de mise à jour d'ASUS WebStorage consiste à envoyer une requête par le client pour une mise à jour via HTTP. Une fois l'invitation reçue, le serveur répond au format XML, avec un guide et un lien inclus dans la réponse. Le logiciel vérifie ensuite si la version installée est antérieure à la dernière version. Si tel est le cas, demandez un binaire en utilisant l'URL fournie.
C'est à ce moment que les attaquants peuvent déclencher la mise à jour en remplaçant ces deux éléments en utilisant leurs propres données. L'illustration ci-dessus nous montre quel est le scénario le plus probable utilisé pour insérer des charges utiles malveillantes sur des cibles spécifiques via des routeurs compromis.