Los hackers explotan el proceso de actualización de ASUS para instalar Backdoor

El grupo de espionaje cibernético BlackTech ha estado realizando ataques de hombre en el medio (MitM) en el proceso de actualización de la aplicación ASUS WebStorage para entregar la puerta trasera de Plead a sus víctimas objetivo, informa ESET.

Los ataques ocurrieron a fines de abril de 2019 e involucraron la creación y ejecución de la puerta trasera Plead por AsusWSPanel.exe , el proceso legítimo del cliente de Windows para el servicio de almacenamiento en la nube de ASUS. 

Con el nombre de Asus Webstorage Upate.exe, el archivo ejecutable fue firmado digitalmente por ASUS Cloud Corporation, lo que sugiere que los piratas informáticos podrían haber tenido acceso al mecanismo de actualización, dado que AsusWSPanel.exe puede crear archivos con dichos nombres durante el proceso de actualización del software. . 

El compromiso, dice ESET , podría haber sido un ataque de cadena de suministro en el servicio en la nube ASUS WebStorage, o el resultado de un ataque MitM, dado que los binarios de WebStorage se entregan a través de HTTP durante el proceso de actualización. 

Aunque ha habido numerosos incidentes en la cadena de suministro recientemente (como MEDoc y CCleaner ) e incluso ASUS fue víctima de un ataque de este tipo recientemente, este compromiso aparentemente ocurrió a través de MitM. 

El problema es que, además de utilizar una conexión no cifrada para entregar actualizaciones de software, el mecanismo no incluye la validación del binario descargado antes de la ejecución. 

“Por lo tanto, si los atacantes interceptan el proceso de actualización, pueden impulsar una actualización maliciosa”, señala ESET. 

Según la firma de seguridad, es probable que los piratas informáticos pongan en peligro a los enrutadores y aprovechen el acceso a estos dispositivos para realizar ataques MitM. Se dijo antes que los operadores de malware de Plead se centraban en el compromiso del enrutador y ESET descubrió que la mayoría de las organizaciones afectadas en los ataques recientes tienen enrutadores hechos por el mismo productor, con paneles de administración accesibles desde Internet. 

“Por lo tanto, creemos que un ataque MitM a nivel de enrutador es el escenario más probable”, dicen los investigadores de seguridad de ESET. 

El mecanismo de actualización para ASUS WebStorage, explican, implica una solicitud enviada por el cliente para una actualización, a la que el servidor responde en formato XML, con una guía y un enlace incluido en la respuesta. El software luego verifica si la versión instalada es más antigua, según la información en el elemento guid, y solicita el binario de actualización a través del enlace provisto. 

“Por lo tanto, los atacantes podrían activar la actualización al reemplazar estos dos elementos utilizando sus propios datos. Este es el escenario exacto que observamos en la naturaleza. “Los atacantes insertaron una nueva URL, que apunta a un archivo malicioso en un dominio gov.tw comprometido”, señala ESET. 

Los atacantes sirven un descargador de la primera etapa que obtiene un archivo fav.ico de un servidor, para dejar caer el cargador de la segunda etapa que también está escrito en la carpeta de inicio del Menú de Inicio. El cargador ejecuta shellcode en la memoria para cargar una DLL de tercera etapa, que se ha detallado anteriormente como TSCookie .

“Vemos que varios atacantes de todo el mundo utilizan los ataques de la cadena de suministro y de los intermediarios. “Es por eso que es muy importante para los desarrolladores de software no solo monitorear a fondo su entorno para detectar posibles intrusiones, sino también implementar mecanismos de actualización adecuados en sus productos que sean resistentes a los ataques MitM”, concluye ESET. 

Comments are closed.