Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Data Services om cookies te gebruiken. verder gaan Created with Sketch.
LEES DIT:  Luister nu TechPod episode 10 met Eddy Willems: “Mijn vrouw wou een Glock kopen op het Dark Web”

ESET: Asus WebStorage software verantwoordelijk voor verspreiding malware

Na een aantal aanvallen op de Plead-backdoor via een legitiem Asus-proces, begon ESET een onderzoek. De Asus WebStorage-software blijkt een doorgeefluik te zijn geweest voor malware-bestanden.

 
Asus WebStorage - 1 - ESET

Eind april is beveiligingsbedrijf en softwaregigant ESET tot een vreemde conclusie gekomen: via de Asus WebStorage-software zijn malwarebestanden geserveerd. Het proces (AsusWSPanel.exe) van de Asus-software, gericht op cloudopslag, is namelijk in meerdere gevallen gebruikt om een Plead-backdoor op Windows-machines te misbruiken. Het precieze proces zou verlopen via het update-proces van de WebStorage-software, waarna de Plead-backdoor wordt geopend. De backdoor wordt voornamelijk in Azië misbruikt door BlackTech om verschillende doelgroepen te kunnen bespioneren.

MitM of Supply-chain aanval?

Het proces is door Asus Cloud Corporation gesigneerd, het gaat dan ook om een legitiem proces. De onderzoekers van ESET hielden rekening met twee scenario’s: een Supply-chain of MitM-aanval. Volgens de onderzoekers bleek het eerste geval erg onwaarschijnlijk. Via het update-proces zijn ten tijde van de aanvallen namelijk nog officiële updatepakketten verzonden. Daarnaast is er geen bewijs dat de servers van Asus malafide bestanden bevatten. Als laatste rekent ESET mee dat de hackers losstaande malware-bestanden gebruikten, in plaats van dat de applicatie werd geïnfecteerd.

Asus WebStorage - 2 - ESET

Beeld: ESET

Een Man in the Middle-aanval lijkt dan ook een stuk waarschijnlijker. Er is tevens meer aanleiding voor een MitM-aanval. Om precies te zijn: er wordt een HTTP-verbinding gebruikt om updates naar gebruikers te versturen. Op die manier zou het voor hackers mogelijk zijn om het update-verzoek te onderscheppen en in plaats van het echte update-bestand een malafide-bestand door te sturen. In veel gevallen wordt dit onderschept, gezien er wordt gecontroleerd of het juiste bestand is gestuurd. Asus blijft daar echter in gebreke, er wordt niet gecontroleerd op de legitimiteit van update-bestanden.

Taiwanese overheidsservers

Uiteindelijk is het lek actief misbruikt, zo bleek uit het onderzoek van ESET. De URL van het te downloaden bestand werd relatief gemakkelijk gewijzigd. Na het aanpassen werd er via een Taiwanees overheidsdomein malware gedownload naar de computers. Vervolgens kon BlackTech gemakkelijk de Plead-backdoor misbruiken. Het bedrijf roept organisaties, zoals Asus, op om HTTP-verbindingen te verbannen uit beveiligingsoogpunt. Verder is het van belang dat er, voordat de update geïnstalleerd wordt, is gekeken of het om een legitiem (veilig) of malafide-bestand gaat.


Dit artikel verscheen oorspronkelijk op techpulse.be

Lees meer over : asus | beveiliging | cloud | eset | malware | mitm | Plead | WebStorage

Leave a Reply

Your email address will not be published. Required fields are marked *