Menurut sekelompok peneliti dari ESET di Taiwan, beberapa hari yang lalu dilaporkan bahwa malware Plead digunakan oleh kelompok BlackTech dalam serangan terarah yang difokuskan pada kegiatan spionase dunia maya, terutama di negara-negara Asia. Program ini tampaknya telah didistribusikan melalui router yang disusupi yang menyalahgunakan layanan ASUS WebStorage.
Itu terjadi pada akhir April ketika mereka mengamati berbagai upaya untuk menyebarkan malware Plead dengan cara yang tidak biasa. Pintu belakang Plead dibuat dan dijalankan menggunakan proses yang sah yang disebut AsusWSPanel.exe. Proses ini milik klien layanan penyimpanan cloud yang disebut ASUS WebStorage. File yang dapat dieksekusi juga ditemukan ditandatangani secara digital oleh ASUS Cloud Corporation. Tak perlu dikatakan, para peneliti ESET telah memberi tahu ASUS tentang apa yang terjadi.
Serangan MitM (Man in the Middle)
Dari ESET, mereka juga memiliki kecurigaan bahwa itu bisa menjadi serangan "man-in-the-middle", yang diterjemahkan ke dalam bahasa Spanyol berarti "man in the middle" attack atau "middle man attack". Seharusnya, perangkat lunak ASUS WebStorage akan rentan terhadap serangan semacam itu , yang akan terjadi selama proses pembaruan aplikasi ASUS untuk mengirimkan pintu belakang Plead kepada korbannya.
Seperti yang telah diketahui, mekanisme pembaruan untuk ASUS WebStorage melibatkan pengiriman permintaan oleh klien untuk pembaruan menggunakan HTTP. Setelah undangan diterima, server merespons dalam format XML, dengan panduan dan tautan yang disertakan dalam respons. Perangkat lunak kemudian memeriksa untuk melihat apakah versi yang diinstal lebih lama dari versi terbaru. Jika demikian, minta biner menggunakan URL yang disediakan.
Ini adalah saat penyerang dapat memicu pembaruan dengan mengganti dua item ini menggunakan data mereka sendiri. Ilustrasi di atas menunjukkan kepada kita skenario mana yang paling mungkin digunakan untuk memasukkan muatan berbahaya pada target tertentu melalui router yang disusupi.