I ricercatori di Eset hanno rivelato che il malware Plead è stato diffuso per lanciare attacchi man-in-the-middle attraverso il servizio in cloud Asus WebStorage. Bersaglio prescelto dagli attacchi MitM le agenzie governative e le organizzazioni private asiatiche. Riconducibile al gruppo di cyber spionaggio BlackTech, questa attività ha coinvolto anche alcuni PC di utenti privati.
Plead viene distribuito tramite un file chiamato Asus Webstorage Update.exe che, a sua volta, produce l’infezione ad opera di AsusWSPanel.exe, identificato da Windows come sicuro perché utilizza una firma certificata, ovvero quella di Asus Cloud Corporation. Secondo i ricercatori, questo scenario si presta a ipotizzare un attacco man-in-the-middle, considerato che l’aggiornamento di Asus WebStorage è trasferito tramite protocollo http e che, una volta scaricato, il software non ne verifica l’autenticità prima dell’esecuzione.
Clicca per ingrandire
Se il processo di aggiornamento viene intercettato dai cyber criminali, questi ultimi sono in grado di intromettersi nel trasferimento inviando un aggiornamento dannoso.
Inoltre, sempre in base ai dati a disposizione dei ricercatori Eset, il malware Plead può compromettere anche alcuni router per utilizzarli come server C & C. In particolare, i dispositivi colpiti da questa campagna appartengono attualmente allo stesso produttore e presentano un pannello di amministrazione direttamente accessibile da Internet, purtroppo vulnerabile ad un attacco MitM.
Molto importante quindi per gli IT manager non solo monitorare accuratamente l’ambiente digitale in cui operano per scoprire eventuali intrusioni, ma anche implementare nei prodotti utilizzati i meccanismi di aggiornamento adeguati che siano resistenti agli attacchi MitM.
