研究人员称,华硕WebStorage系统正在被滥用以执行中间人(MiTM)攻击。

ESET研究员Anton Cherepanov 周二发布了一份报告,详细介绍了与华硕云存储服务WebStorage相关的攻击媒介。

据该团队称,Plead恶意软件可能是通过针对华硕软件的MiTM攻击进行分发的。

Plead是一种恶意软件变体,通过Plead后门和Drigo exfiltration工具的组合专门从事数据窃取。

众所周知,恳求通过CVE-2015-5119,CVE-2012-0158和CVE-2014-6352等公共漏洞传播,但在2018年7月,ESET研究人员还发现恶意软件是通过代码签名证书分发的。从D-Link偷来的。

该恶意软件已经与BlackTech相连,BlackTech是一个网络间谍组织,据信该组织在亚洲运营,并且与台湾,日本和香港的攻击目标有关。

ESET表示已跟踪涉及Plead和ASUS软件的新活动。Plead恶意软件在台湾发现,现在由合法的AsusWSPanel.exe进程创建和执行,该进程在Windows中用于操作ASUS WebStorage。

另请参阅:被 劫持的华硕Live Update软件在全球无数台PC上安装后门

ESET观察到的所有样本都使用文件名ASUS Webstorage Upate.exe。

该团队表示,随着Plead的部署,下载器能够从模拟官方ASUS WebStorage服务器的服务器中提取fav.ico文件。然后由Plead解密该恶意文件,并且丢弃另一个可执行文件,该文件能够解密附加的shellcode以便在内存中执行。

shellcode加载.DLL文件,该文件从命令和控制(C2)服务器中提取模块以供执行。该恶意软件被称为TSCookie并且还与BlackTech相连,能够窃取包括操作系统信息和用户凭证在内的数据。

在一种情况下,可以在路由器级别执行MiTM攻击,这是一种难以检测的攻击媒介,可能导致数据丢失或浏览器会话篡改和重定向。

由于ASUS WebStorage是通过HTTP更新的,因此在执行之前不会验证这些请求的真实性。反过来,这表明更新过程可能被攻击者截获,并且易受攻击。

“因此,攻击者可以通过使用他们自己的数据替换这些[元素]来触发更新,”该团队表示。“这是我们在野外实际观察到的确切情况。”

ESET还表明,华硕云服务的用户可能容易受到基于供应链的攻击,这可能通过HTTP ASUS更新机制将独立形式的恶意软件拉到受害设备上。