Prema grupi istraživača iz tajlandskog ESET-a, prije nekoliko dana izviješteno je kako BlackTech grupa koristi malware Plead u ciljanim napadima usmjerenim na cyber špijunažu, posebno u azijskim zemljama. Čini se da je ovaj program distribuiran putem ugroženih usmjerivača koji zloupotrebljavaju uslugu ASUS WebStorage.
To se dogodilo krajem travnja kada su primijetili višestruke pokušaje širenja zlonamjernog softvera Plead na neobične načine. Pleadova stražnja vrata stvorena su i pokrenuta legitimnim postupkom nazvanim AsusWSPanel.exe. Ovaj postupak pripada klijentu usluga za pohranu u oblaku nazvanom ASUS WebStorage. Također je poznato da je izvršnu datoteku digitalno potpisala ASUS Cloud Corporation. Nepotrebno je reći da su ESET-ovi istraživači već obavijestili ASUS o onome što se dogodilo.
MitM Attack (Čovjek u sredini)
ESET također sumnja da bi to mogao biti napad "čovjek u sredini", što na španjolski znači napad "čovjek u sredini" ili "napad srednjeg čovjeka". Navodno bi softver ASUS WebStorage bio ranjiv na takve napade koji bi se dogodili tijekom postupka ažuriranja ASUS-ove aplikacije kako bi svojim žrtvama dostavio Plead backdoor.
Kao što je postalo poznato, mehanizam ažuriranja za ASUS WebStorage uključuje slanje zahtjeva klijenta za ažuriranjem pomoću HTTP-a. Jednom kada je pozivnica primljena, poslužitelj odgovara u XML formatu, s vodičem i vezom koja je uključena u odgovor. Zatim softver provjerava je li instalirana verzija starija od najnovije verzije. U slučaju da jest, zatražite binarni zapis pomoću navedenog URL-a.
Tada napadači mogu pokrenuti ažuriranje zamjenom ove dvije stavke pomoću vlastitih podataka. Gornja ilustracija pokazuje nam koji je najvjerojatniji scenarij koji se koristi za umetanje zlonamjernog tereta na određene ciljeve putem ugroženih usmjerivača.