Asus ZenBook Pro 15
Senza essere il più grande computer portatile mai visto, Asus ottiene punti per provare qualcosa di nuovo in ScreenPad. Speriamo che si attacca con esso.
Il driver ASUS WebStorage sistema è attivamente sfruttata per eseguire Man-in-The-Middle (MiTM), gli attacchi, i ricercatori dicono.
ESET ricercatore Anton Cherepanov pubblicato un rapporto dettagliato dei vettori di attacco relative al WebStorage ASUS spazio di archiviazione cloud di servizio, nella giornata di martedì.
Secondo il team, la Supplico di malware possono essere distribuiti attraverso gli attacchi MiTM prendendo posizione contro ASUS software.
Implorare è un malware variante specializzata nel furto di dati attraverso una combinazione di Perorare la backdoor e Drigo esfiltrazione strumento.
Implorare è noto per diffondere attraverso exploit come CVE-2015-5119, CVE-2012-0158, e CVE-2014-6352, ma nel luglio del 2018, ESET ricercatori hanno anche scoperto che il malware viene distribuito tramite un certificato di firma del codice rubato da D-Link.
Il malware è stato collegato a BlackTech, un cyberespionage gruppo che si crede di essere operativo in Asia ed è stato collegato ad attacchi contro obiettivi in Taiwan, Giappone e Hong Kong.
ESET dice che la nuova attività è stato rintracciato coinvolgono Supplicare e ASUS software. Scoperto in Taiwan, la Supplico malware viene ora creato ed eseguito dai legittimi AsusWSPanel.exe il processo, che viene utilizzato in Windows per funzionare ASUS WebStorage.
Vedi anche: Dirottato ASUS Live Update software installa una backdoor su un’infinità di Pc in tutto il mondo
Tutti i campioni osservati da ESET utilizzare il nome del file ASUS Webstorage Upate.exe.
Il team dice che, come Perorare la distribuisce, la downloader è in grado di tirare una fav.ico file da un server che simula l’ufficiale di ASUS WebStorage server. Questo file dannoso è poi decifrati da Invocare e un altro eseguibile è caduto, che è in grado di decifrare ulteriori shellcode per l’esecuzione in memoria.
La shellcode carichi .DLL file che tira moduli di comando e controllo (C2) server per l’esecuzione. Conosciuto come TSCookie e anche collegato a BlackTech, il malware è in grado di rubare i dati, comprese le informazioni del sistema operativo e le credenziali dell’utente.
CNET: WhatsApp difetto di lasciare gli attaccanti installare spyware con una telefonata
In uno scenario di, gli attacchi MiTM, possono essere eseguite a livello del router, un vettore di attacco che sarebbe difficile da rilevare e può portare alla perdita di dati o la sessione del browser manomissione & reindirizzamento.
ASUS WebStorage è aggiornato tramite HTTP, queste richieste non vengono convalidati per l’autenticità prima dell’esecuzione. Questo, a sua volta, suggerisce che i processi di aggiornamento possono essere intercettati da malintenzionati e sono vulnerabili a sfruttare.
“Pertanto, gli aggressori potrebbero scatenare l’aggiornamento, la sostituzione di questi [elementi] utilizzando i propri dati, il” team dice. “Questo è lo scenario che abbiamo osservato in natura.”
ESET suggerisce anche che gli utenti di ASUS di servizi cloud possono essere soggetti a catena di fornitura a base di attacchi, reso possibile attraverso l’HTTP ASUS meccanismo di aggiornamento per tirare indipendente forme di malware su una vittima del dispositivo.
TechRepublic: Cybersecurity burnout: 10 più stressante parti del lavoro
Tuttavia, non vi è alcuna prova che ASUS WebStorage server sono stati utilizzati come pericolosi C&C server o hanno servito dannoso binari stessi.
I ricercatori di sicurezza hanno notificato il fornitore della ditta risultati. ESET ha fornito Indicatori di Compromesso (Cio), disponibile qui.
Nelle notizie correlate di questa settimana, oltre 25.000 Linksys Smart Wi-Fi router sono stati trovati per essere la perdita di informazioni sensibili tra cui indirizzi MAC, i nomi del dispositivo e le impostazioni di configurazione. Il problema è dovuto a un difetto di primo comunicati nel 2014 e non sembra siano state applicate le patch avuto router.
ZDNet ha raggiunto ASUS con altre query e aggiornare se sentiamo di ritorno.
Precedente e relativa copertura
I ricercatori a pubblicare elenco di indirizzi MAC mirati in ASUS hack
ASUS rilascia il fix per l’Aggiornamento in tempo reale strumento abusato in ShadowHammer attacco
Oltre 25,00 smart router Linksys sono perdite di dati sensibili
Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati