Asus ZenBook Pro 15
Zonder al de beste laptop ooit gezien, Asus krijgt punten voor het proberen van iets nieuws in ScreenPad. Hopelijk blijft het.
De ASUS WebStorage systeem wordt actief misbruikt voor het uitvoeren van Man-in-The-Middle (MiTM) aanvallen, onderzoekers zeggen dat.
ESET onderzoeker Anton Cherepanov publiceerde een rapport waarin de aanval van vectoren in verband met WebStorage ASUS op de cloud-opslag-dienst, op dinsdag.
Volgens het team, het Pleiten malware kan worden gedistribueerd via een MiTM-aanvallen plaats tegen de ASUS software.
Pleiten is een malware variant dat zich specialiseert in data-diefstal door middel van een combinatie van het Pleiten achterdeur en Drigo exfiltration tool.
Pleiten is bekend om te verspreiden via de publieke exploits zoals CVE-2015-5119, CVE-2012-0158 en CVE-2014-6352, maar in juli 2018, ESET onderzoekers vonden ook dat de malware werd verspreid via een certificaat voor ondertekenen van code gestolen van D-Link.
De malware is aangesloten op BlackTech, een cyberespionage groep die wordt verondersteld om te werken in Azië en is gekoppeld aan aanvallen op doelen in Taiwan, Japan en Hong Kong.
ESET zegt dat de nieuwe activiteit wordt gevolgd waarbij Smeken en ASUS software. Ontdekt in Taiwan, het Pleiten malware wordt nu aangemaakt en uitgevoerd door de rechtmatige AsusWSPanel.exe proces, die wordt gebruikt in Windows te bedienen ASUS WebStorage.
Zie ook: Gekaapt ASUS Live Update software installeert backdoors op talloze Pc ‘ s wereldwijd
Alle monsters waargenomen door ESET gebruikt de bestandsnaam ASUS Webstorage Upate.exe.
Het team zegt dat als Pleiten implementeert, de downloader is in staat om een fav.ico-bestand van een server die bootst de officiële ASUS WebStorage server. Deze kwaadaardige bestand wordt dan gedecodeerd door Smeken en ander uitvoerbaar is gedaald en die in staat is te ontsleutelen extra shellcode voor de uitvoering in het geheugen.
De shellcode geladen .DLL bestand die trekt modules van een command-and-control (C2) – server voor de uitvoering. Bekend als TSCookie en ook aangesloten op BlackTech, de malware is in staat om gegevens te stelen inclusief besturingssysteem informatie en referenties van de gebruiker.
CNET: WhatsApp fout laat aanvallers spyware te installeren met een telefoontje
In één scenario, MiTM-aanvallen kunnen worden uitgevoerd op het router niveau, een aanval die moeilijk te detecteren en kan leiden tot het verlies van gegevens of een browser sessie knoeien & omleiding.
Als ASUS WebStorage is bijgewerkt via HTTP, deze verzoeken zijn niet gevalideerd voor authenticiteit voor de uitvoering. Dit, op zijn beurt suggereert dat de update processen kunnen worden onderschept door aanvallers en zijn kwetsbaar te exploiteren.
“Daarom aanvallers zou kunnen leiden tot de update door het vervangen van deze [elementen] met behulp van hun eigen gegevens, de” het team zegt. “Dit is precies het scenario dat we daadwerkelijk waargenomen in het wild.”
ESET suggereert ook dat de gebruikers van de ASUS cloud service kunnen gevoelig zijn voor supply chain-gebaseerde aanvallen, mogelijk gemaakt door HTTP ASUS update-mechanisme te trekken onafhankelijke vormen van malware op een slachtoffer apparaat.
TechRepublic: Cybersecurity burnout: 10 van meest stressvolle delen van de baan
Er is echter geen bewijs dat ASUS WebStorage servers worden gebruikt als kwaadaardige C&C-servers of hebben gediend schadelijke binaire bestanden zelf.
De security-onderzoekers hebben gemeld bij de leverancier van de firma ‘ s bevindingen. ESET heeft verstrekt Indicatoren van het Compromis (IoC), hier beschikbaar.
In gerelateerd nieuws deze week, meer dan 25.000 Linksys Smart Wi-Fi routers werden gevonden om het lekken van gevoelige informatie, waaronder het MAC-adressen, namen van het apparaat en configuratie-instellingen. Het probleem is te wijten aan een fout van de eerste verstrekking in 2014 en niet gepatched zijn op alle beïnvloed routers.
ZDNet heeft bereikt ASUS met extra query ‘ s en werken als we horen terug.
Vorige en aanverwante dekking
De onderzoekers publiceren lijst van MAC-adressen die bij de ASUS hack
ASUS releases correctie voor Live Update tool misbruikt in ShadowHammer aanval
Over 25,00 smart Linksys routers zijn van het lekken van gevoelige gegevens
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters