ESET, líder mundial en ciberseguridad y el mayor fabricante de software de seguridad de la Unión Europea, ha descubierto que los atacantes que se encuentran detrás del malware Plead han estado distribuyendo muestras de esta amenaza a través de routers comprometidos y mediante ataques man-in-the-middle contra el software legítimo WebStorage de ASUS. Estos ataques han sido detectados por la telemetría de ESET en Taiwán, país más afectado por este malware.
Hace unos días se informó de que el malware Plead estaba siendo utilizado por parte del grupo BlackTech en ataques dirigidos y centrados en actividades de ciberespionaje, especialmente en países de Asia.
Fue a finales de abril cuando los investigadores de ESET observaron múltiples intentos de propagar el malware Plead de forma poco habitual. El backdoor que incorpora Plead se creaba y ejecutaba utilizando un proceso legítimo denominado AsusWSPanel.exe. Este proceso pertenece a un cliente de servicios de almacenamiento cloud llamado ASUS WebStorage estando el archivo ejecutable firmado digitalmente por ASUS Cloud Corporation.
ESET sospecha que se trata de un ataque man-in-the-middle, tal y como detalla el autor de la investigación, Anton Cherepanov: “el software ASUS WebStorage es vulnerable a este tipo de ataques, ya que las actualizaciones se solicitan y envían utilizando el protocolo HTTP.
Una vez descargada la actualización, el software no valida su autenticidad antes de ser ejecutada, por lo que si el proceso es interceptado por los delincuentes, es sencillo intercambiar el archivo por una actualización maliciosa”.
