مهاجمان در حال سوءاستفاده از سیستم ASUS WebStorage از طریق حملات مرد میانی (Man-in-the-Middle)هستند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در این حملات بدافزار Plead توزیع شده است که این بدافزار با ترکیب درپشتی Plead و ابزار استخراج Drigo به فرایندهای سرقت داده میپردازد.
بدافزار Plead در گذشته از طریق اکسپلویتهای عمومی مانند CVE-۲۰۱۵-۵۱۱۹، CVE-۲۰۱۲-۰۱۵۸ و CVE-۲۰۱۴-۶۳۵۲ منتشر میشد، اما در جولای ۲۰۱۸، پژوهشگران ESET متوجه شدند که این بدافزار از طریق یک گواهی به سرقت رفته از D-Link نیز توزیع شده است. این بدافزار توسط فرایند پردازشی AsusWSPanel.exe که در سیستمعامل ویندوز برای مدیریت ASUS WebStorage استفاده میشود، ایجاد و اجرا میشود.
در تمامی نمونههای مشاهده شده توسط ESET از نام ASUS Webstorage Upate.exe استفاده شده است. به گفته پژوهشگران ESET، زمانی که بدافزار Plead به رایانه قربانی منتقل میشود، یک دانلودکننده یک فایل fav.ico را از یک سرور دریافت میکند. این سرور خود را در قالب سرور رسمی ASUS WebStorage جا میزند و فایل مخربی که منتقل میکند توسط بدافزار Plead رمزگشایی میشود. سپس یک فایل اجرایی دیگر که قادر به رمزگشایی shellcode دیگری برای اجرا در حافظه است، در سیستم قربانی بارگذاری میشود. این shellcode یک فایل DLL با نام TSCookie را بارگیری میکند که میتواند دادههایی از قبیل اطلاعات سیستمعامل و اطلاعات احرازهویت کاربر را به سرقت ببرد.
در یک سناریو دیگر، حملات مرد میانی میتواند در سطح مسیریاب انجام شود که شناسایی این نوع حمله مشکل خواهد بود و منجر به از بین رفتن دادهها و یا دستکاری نشستهای مرورگر و هدایت کاربر در مرورگر میشود. از آنجایی که ASUS WebStorage از طریق HTTP بهروزرسانی میشود، این درخواستها قبل از اجرا اعتبارسنجی نمیشوند. این موضوع باعث میشود تا مهاجمین بتوانند در فرایندهای بهروزسانی توسط مداخله کنند.