Eset зафіксувала поширення бекдору Plead з використанням скомпрометованих цифрових сертифікатів Asus Cloud Corporation

Eset зафіксувала нову шкідливу кампанію угрупування Blacktech. Зловмисники розповсюджують бекдор Plead, використовуючи скомпрометовані цифрові сертифікати Asus Cloud Corporation, які маскують загрозу під легітимне ПЗ та допомагають обходити захист.

Схема атаки виглядає так: хмарне сховище Asus надсилає запит на легітимний сервер для отримання бінарного файлу з останньою версією оновлення системи. На цьому етапі зловмисники підставляють власну адресу, яка веде до шкідливого файлу.

Завантаження файлу відбувається з сервера, який імітує назву легітимного сервера Asus. Після завантаження шкідливий файл зберігається в ОС і запускається під час кожного входу користувача в систему.

Eset не виключає, що заміна сертифікатів могла відбуватися в рамках атаки на ланцюжок поставок. Іншим варіантом є атака через посередника (man-in-the-middle) - зловмисники компрометують роутер, користуючись уразливістю хмарного сховища Asus Webstorage.

Шкідлива активність зафіксована на території Тайваню наприкінці квітня 2019 р. Як вважають експерти Eset, за нею стоїть угруповання Blacktech, яке відоме кібершпигунством у країнах Азії.

Eset зв'язалася з Asus Cloud Corporation і повідомила про загрозу.

Інші новини