על פי קבוצת חוקרים מ- ESET בטייוואן, לפני מספר ימים דווח כי תוכנת התוכנה הזדונית משמשת קבוצת BlackTech בהתקפות ממוקדות שהתמקדו בפעילות ריגול סייבר, במיוחד במדינות אסיה. נראה כי תוכנית זו הופצה באמצעות נתבים שנמצאו בסכנה המשתמשת לרעה בשירות ASUS WebStorage.
זה קרה בסוף אפריל כאשר הם צפו בניסיונות מרובים להפיץ את תוכנת התוכנה הזדונית בדרכים יוצאות דופן. הדלת האחורית של Plead נבנתה והופעלה באמצעות תהליך לגיטימי שנקרא AsusWSPanel.exe. תהליך זה שייך ללקוח שירותי אחסון ענן בשם ASUS WebStorage. עוד נודע כי קובץ ההפעלה נחתם דיגיטלית על ידי תאגיד ASUS Cloud. למותר לציין שחוקרי ESET כבר הודיעו ל- ASUS על מה שקרה.
MitM Attack (איש באמצע)
מ- ESET יש להם גם את החשד שמדובר במתקפה "איש באמצע", שמשמעותה תרגום לספרדית פירושה "התקפה איש באמצע" או "התקפת איש אמצע". כביכול, תוכנת ASUS WebStorage תהיה חשופה להתקפות כאלה , שהיו מתרחשות במהלך תהליך עדכון יישום ASUS כדי למסור את הדלת האחורית לקורבנותיה.
כפי שנודע, מנגנון העדכון של ASUS WebStorage כולל שליחת בקשה של הלקוח לעדכון באמצעות HTTP. לאחר קבלת ההזמנה, השרת מגיב בפורמט XML, עם הנחיה וקישור כלולים בתגובה. לאחר מכן התוכנה בודקת אם הגרסה המותקנת ישנה יותר מהגרסה האחרונה. במקרה כזה, בקש בינארי באמצעות כתובת ה- URL שצוינה.
זה כאשר התוקפים יכולים להפעיל את העדכון על ידי החלפת שני הפריטים הללו באמצעות הנתונים שלהם. האיור לעיל מראה לנו שהוא התרחיש הסביר ביותר המשמש להכנסת מטענים זדוניים ליעדים ספציפיים באמצעות נתבים שנפגעו.