De acordo com um grupo de pesquisadores da ESET em Taiwan, há poucos dias foi relatado que o malware Plead estava sendo usado pelo grupo BlackTech em ataques direcionados com foco em atividades de espionagem cibernética, especialmente em países asiáticos. Este programa parece ter sido distribuído através de roteadores comprometidos, fazendo mau uso do serviço ASUS WebStorage.
Aconteceu no final de abril, quando observaram várias tentativas de espalhar o malware Plead de maneiras incomuns. O backdoor embutido no Plead foi criado e executado usando um processo legítimo chamado AsusWSPanel.exe. Este processo pertence a um cliente de serviços de armazenamento em nuvem chamado ASUS WebStorage. O arquivo executável também era conhecido por ser assinado digitalmente pela ASUS Cloud Corporation. Nem é preciso dizer que os pesquisadores da ESET já notificaram a ASUS sobre o que aconteceu.
Ataque MitM (Homem no Meio)
Da ESET, eles também têm a suspeita de que poderia ser um ataque de "intermediário", que traduzido para o espanhol significa ataque de "intermediário" ou "ataque de intermediário". Supostamente, o software ASUS WebStorage seria vulnerável a tais ataques , que teriam ocorrido durante o processo de atualização do aplicativo ASUS para entregar o backdoor Plead às suas vítimas.
Como aprendemos, o mecanismo de atualização do ASUS WebStorage envolve o envio de uma solicitação do cliente para uma atualização usando HTTP. Assim que o convite é recebido, o servidor responde em formato XML, com um guid e um link incluídos na resposta. O software então verifica se a versão instalada é anterior à versão mais recente. Caso seja, solicite um binário usando a URL fornecida.
É quando os invasores podem acionar a atualização substituindo esses dois itens por seus próprios dados. A ilustração acima nos mostra o cenário mais provável usado para inserir cargas maliciosas em alvos específicos por meio de roteadores comprometidos.