مهاجمان در حال سوء‌استفاده از سیستم ASUS WebStorage از طریق حملات مرد میانی (Man-in-the-Middle)هستند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در این حملات بدافزار Plead توزیع شده است که این بدافزار با ترکیب درپشتی Plead و ابزار استخراج Drigo به فرایندهای سرقت داده می‌پردازد.

بدافزار Plead در گذشته از طریق اکسپلویت‌های عمومی مانند CVE-۲۰۱۵-۵۱۱۹، CVE-۲۰۱۲-۰۱۵۸ و CVE-۲۰۱۴-۶۳۵۲ منتشر می‌شد، اما در جولای ۲۰۱۸، پژوهشگران ESET متوجه شدند که این بدافزار از طریق یک گواهی به سرقت رفته از D-Link نیز توزیع شده است. این بدافزار توسط فرایند پردازشی AsusWSPanel.exe که در سیستم‌عامل ویندوز برای مدیریت ASUS WebStorage استفاده می‌شود، ایجاد و اجرا می‌شود.

در تمامی نمونه‌های مشاهده شده توسط ESET از نام ASUS Webstorage Upate.exe استفاده شده است. به گفته پژوهشگران ESET، زمانی که بدافزار Plead به رایانه قربانی منتقل می‌شود، یک دانلودکننده یک فایل fav.ico را از یک سرور دریافت می‌کند. این سرور خود را در قالب سرور رسمی ASUS WebStorage جا می‌زند و فایل مخربی که منتقل می‌کند توسط بدافزار Plead رمزگشایی می‌شود. سپس یک فایل اجرایی دیگر که قادر به رمزگشایی shellcode دیگری برای اجرا در حافظه است، در سیستم قربانی بارگذاری می‌شود. این shellcode یک فایل DLL با نام TSCookie را بارگیری می‌کند که می‌تواند داده‌هایی از قبیل اطلاعات سیستم‌عامل و اطلاعات احرازهویت کاربر را به سرقت ببرد.

در یک سناریو دیگر، حملات مرد میانی می‌تواند در سطح مسیریاب انجام شود که شناسایی این نوع حمله مشکل خواهد بود و منجر به از بین رفتن داده‌ها و یا دستکاری نشست‌های مرورگر و هدایت کاربر در مرورگر می‌شود. از آنجایی که ASUS WebStorage از طریق HTTP به‌روزرسانی می‌شود، این درخواست‌ها قبل از اجرا اعتبارسنجی نمی‌شوند. این موضوع باعث می‌شود تا مهاجمین بتوانند در فرایندهای به‌روزسانی توسط مداخله کنند.