Som en gruppe forskere fra ESET i Taiwan oppdaget, ble det for noen dager siden rapportert at Plead-skadelig programvare ble brukt av BlackTech-gruppen i målrettede angrep med fokus på cyberspionasjeaktiviteter, spesielt i asiatiske land. Dette programmet ser ut til å ha blitt distribuert gjennom kompromitterte rutere som misbruker ASUS WebStorage-tjenesten.
Det skjedde i slutten av april da de observerte flere forsøk på å spre skadelig programvare på uvanlige måter. Bakdøren innebygd i Plead ble opprettet og kjørt ved hjelp av en legitim prosess kalt AsusWSPanel.exe. Denne prosessen tilhører en klientlagringstjeneste-klient kalt ASUS WebStorage. Den kjørbare filen ble også funnet å være signert digitalt av ASUS Cloud Corporation. Det er unødvendig å si at ESET-forskere allerede har varslet ASUS om hva som skjedde.
MitM Attack (Mann i midten)
Fra ESET har de også mistanke om at det kan være et "mann-i-midten" -angrep, som oversatt til spansk betyr "mann i midten" -angrep eller "mellommann-angrep". Angivelig ville ASUS WebStorage-programvaren være sårbar for slike angrep , som ville ha skjedd under prosessen med å oppdatere ASUS-applikasjonen for å levere Plead bakdøren til ofrene.
Som det er blitt kjent, innebærer oppdateringsmekanismen for ASUS WebStorage å sende en forespørsel fra klienten om en oppdatering ved hjelp av HTTP. Når invitasjonen er mottatt, svarer serveren i XML-format, med en guid og en lenke inkludert i svaret. Programvaren sjekker deretter om den installerte versjonen er eldre enn den siste versjonen. I tilfelle det er det, så be om en binær ved hjelp av den angitte URL-en.
Dette er når angriperne kan utløse oppdateringen ved å erstatte disse to elementene ved hjelp av egne data. Illustrasjonen over viser oss hvilket er det mest sannsynlige scenariet som brukes til å sette inn ondsinnede nyttelast på bestemte mål gjennom kompromitterte rutere.