ASUS WebStorage zneužívaný na distribúciu malvéru Plead

ASUS

Zdroj: Eset

Eset ešte minulý rok zistil, že Plead malvér je podpísaný platným certifikátom od firmy D-Link. Tentoraz ten istý malvér zneužíva inak legitímny softvér od firmy ASUS. Za malvérom je skupina, ktorej bezpečnostná firma Trend Micro dala názov BlackTech. Táto skupina sa zameriava hlavne na špionáž v Ázii.

Eset zachytil zvláštne správanie na počítačoch svojich zákazníkov. Plead malvér bol spúšťaný inak legitímnym procesom AsusWSPanel.exe. Tento proces patrí klientovi ASUS WebStorage softvéru. Eset má na toto správanie 2 vysvetlenia.

Prvé vysvetlenie je, že ide o supply-chain útok. Je možné, že ako v prípade z marca, niekto má prístup k ASUS update serverom, kódom a certifikátom. Vďaka tomu môže poslať upravený update súbor na počítače ASUS. Eset si myslí, že na toto nie je zatiaľ dostatok dôkazov.

Druhé vysvetlenie je viac pravdepodobné. ASUS WebStorage update je vykonávaný cez HTTP (žiadne šifrovanie), a tým pádom je možný MitM (Man-in-the-Middle) útok. To znamená, že útočníci môžu odchytiť update a zameniť legitímny súbor za malvér. Ako? Cez smerovače zákazníkov. Eset zistil, že všetky obete používajú smerovač od toho istého výrobcu. Takisto ovládanie smerovačov je dosiahnuteľné z internetu.

Ako je zrejmé aj z tohto prípadu, niektorí výrobcovia softvéru sú nepoučiteľní. Ak má váš softvér auto update funkcionalitu, je nutné zabezpečiť integritu tohto procesu. Útočníci dokážu zneužiť diery v týchto auto update systémoch na svoje účely.

Obrázok: „IMG_2655“ by Masaru Kamikura, used under CC BY 2.0

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ