ตามที่กลุ่มนักวิจัยจาก ESET ในไต้หวันค้นพบเมื่อไม่กี่วันก่อนมีรายงานว่ากลุ่ม BlackTech ใช้มัลแวร์ Pleadในการโจมตีแบบกำหนดเป้าหมายที่เน้นกิจกรรมจารกรรมทางไซเบอร์โดยเฉพาะในประเทศแถบเอเชีย ดูเหมือนว่าโปรแกรมนี้จะถูกแจกจ่ายผ่านเราเตอร์ที่ถูกบุกรุกโดยใช้บริการ ASUS WebStorage ในทางที่ผิด
เกิดขึ้นเมื่อปลายเดือนเมษายนเมื่อพวกเขาสังเกตเห็นความพยายามหลายครั้งในการแพร่กระจายมัลแวร์ Pleadในรูปแบบที่ผิดปกติ แบ็คดอร์ที่สร้างขึ้นใน Plead ถูกสร้างและเรียกใช้โดยใช้กระบวนการที่ถูกต้องที่เรียกว่า AsusWSPanel.exe กระบวนการนี้เป็นของไคลเอนต์บริการจัดเก็บข้อมูลบนคลาวด์ที่เรียกว่า ASUS WebStorage ไฟล์ปฏิบัติการเป็นที่ทราบกันดีว่า ASUS Cloud Corporation เซ็นชื่อแบบดิจิทัล ไม่จำเป็นต้องพูดนักวิจัยของ ESET ได้แจ้งให้ ASUS ทราบแล้วว่าเกิดอะไรขึ้น
MitM Attack (ชายตรงกลาง)
จาก ESET พวกเขายังมีความสงสัยว่าอาจเป็นการโจมตีแบบ "man-in-the-middle" ซึ่งแปลเป็นภาษาสเปนแปลว่า "คนที่อยู่ตรงกลาง" หรือ "การโจมตีจากคนกลาง" สมมติว่า ซอฟต์แวร์ ASUS WebStorage จะเสี่ยงต่อการโจมตีดังกล่าวซึ่งจะเกิดขึ้นในระหว่างกระบวนการอัปเดตแอปพลิเคชัน ASUS เพื่อส่งมอบประตูหลังของ Plead ให้กับเหยื่อ
ตามที่ทราบกันแล้วกลไกการอัพเดตสำหรับ ASUS WebStorage เกี่ยวข้องกับการส่งคำขอจากไคลเอนต์สำหรับการอัปเดตโดยใช้ HTTP เมื่อได้รับคำเชิญเซิร์ฟเวอร์จะตอบกลับในรูปแบบ XML พร้อมด้วย guid และลิงก์ที่รวมอยู่ในการตอบกลับ จากนั้นซอฟต์แวร์จะตรวจสอบเพื่อดูว่าเวอร์ชันที่ติดตั้งเก่ากว่าเวอร์ชันล่าสุดหรือไม่ ในกรณีนี้ให้ขอไบนารีโดยใช้ URL ที่ให้มา
นี่คือช่วงเวลาที่ผู้โจมตีสามารถทริกเกอร์การอัปเดตโดยแทนที่สองรายการนี้โดยใช้ข้อมูลของตนเอง ภาพประกอบด้านบนแสดงให้เราเห็นว่าสถานการณ์ใดเป็นไปได้มากที่สุดที่ใช้ในการแทรกเพย์โหลดที่เป็นอันตรายในเป้าหมายเฉพาะผ่านเราเตอร์ที่ถูกบุกรุก