Investigadores de ESET descubrieron que los atacantes han estado distribuyendo el malware Plead a través de routers comprometidos y ataques de Man in the Middle haciendo uso indebido del software ASUS WebStorage. En julio de 2018 se descubrió que el backdoor Plead fue firmado digitalmente por un certificado de firma de código asociado a D-Link Corporation. Recientemente detectamos nueva actividad relacionada con el mismo malware y una posible conexión a un software legítimo desarrollado por ASUS Cloud Corporation.
El malware Plead es un backdoor que, de acuerdo a Trend Micro, es utilizado en ataques dirigidos por BlackTech, un grupo que está enfocado principalmente en tareas de espionaje en Asia.La nueva actividad descrita en este artículo fue detectada por ESET en Taiwán, donde el malware Plead siempre ha sido mayormente desplegado.
¿Qué pasó?
A finales de abril de 2019, investigadores de ESET observaron en su sistema de telemetría múltiples intentos de desplegar el malware Plead pero de una manera poco usual, ya que el backdoor era creado y ejecutado por un proceso legítimo nombrado AsusWSPanel.exe. Este proceso pertenece al cliente de Windows para un servicio de almacenamiento en la nube denominado ASUS WebStorage.
Todas las muestras de Plead presentan el siguiente nombre de archive Asus Webstorage Upate.exe [sic]. Nuestra investigación confirmó que el módulo AsusWSPanel.exe de ASUS WebStorage puede crear archivos con tal nombre de archivo durante el proceso de actualización del software.
Existen varias explicaciones posibles para intentar comprender por qué un software legítimo podría crear y ejecutar el malware Plead.
Escenario 1 – Ataques de cadena de suministro
Una cadena de suministro ofrece a los atacantes ilimitadas oportunidades para comprometer de forma silenciosa un largo número de blancos al mismo tiempo: esa es la razón por la que el número de ataques de cadena de suministro está incrementando. En los últimos años, investigadores de ESET analizaron casos como los de M.E.Doc, Elmedia Player, VestaCP, Statcounter, y la Industria de videojuegos.
Para los investigadores de malware, no siempre es sencillo detector y confirmar un ataque de cadena de suministro específico, ya que muchas veces no hay suficientes elementos que sirvan como evidencia para probar el ataque.
Cuando pensamos acerca de la posibilidad de un ataque de cadena de suministro a ASUS WebStorage, debemos tener en cuenta los siguientes puntos:
- Binarios legítimos de ASUS WebStorage fueron enviados a través del mismo mecanismo de actualización
- Actualmente, no tenemos conocimiento de que los servidores de ASUS WebStorage sean utilizados como servidores C&C o que hayan servido binarios maliciosos
- Atacantes utilizaron malware que opera de manera independiente en lugar de incorporar una funcionalidad maliciosa dentro de un software legítimo
Por lo tanto, consideramos menos probable la hipótesis de un posible ataque de cadena de suministro; aunque la realidad indica que tampoco podemos descartarlo por completo.
Escenario 2 – Ataque de Man in the Middle
El software ASUS WebStorage es vulnerable a un Ataque de Man in the Middle (MitM), que traducido al español, significa ataque de hombre en el medio o ataque de intermediario. Es decir que, la actualización del software es solicitada y transferida utilizando HTTP. Una vez que una actualización es descargada y está pronta para ser ejecutada, el software no valida su autenticidad antes de ejecutarla. Por lo tanto, si el proceso de actualización es interceptado por atacantes, éstos serán capaces de impulsar una actualización maliciosa.
Los investigadores de ESET están familiarizados con casos en los que el malware fue introducido mediante un ataque de Man in the Middle a nivel ISP, como fueron, por ejemplo, los casos de FinFisher, StrongPity2, y el de Turla mosquito.
Según una investigación de Trend Micro, los atacantes detrás del malware Plead están comprometiendo routers vulnerables e incluso están utilizándolos como servidores C&C para el malware.
Nuestra investigación reveló que la mayoría de las organizaciones afectadas tienen routers elaborados por el mismo fabricante. Además, los paneles de administración de estos routers son accesibles desde Internet. Por lo tanto, creemos que un ataque de Man in the Middle a nivel de router es el escenario que se presenta como el más probable.
Como se mencionó anteriormente, el software ASUS WebStorage solicita una actualización utilizando HTTP. Específicamente, envía una solicitud al servidor update.asuswebstorage.com, el cual envía una respuesta en formato XML. Los elementos más importantes en la respuesta en XML son el guid y el link. El elemento guid contiene la versión actual disponible, mientras que el elemento link contiene la URL de descarga utilizada por la actualización. El proceso de actualización es simple: el software chequea si la versión instalada es anterior a la versión más reciente.
Por lo tanto, atacantes pueden activar la actualización mediante el reemplazo de estos dos elementos utilizando sus propios datos. Este es precisamente el escenario que actualmente hemos observado de manera activa.
La ilustración en la Figura 5 demuestra cuál es el escenario más probable utilizado para insertar payloads maliciosos en blancos específicos a través de routers comprometidos.
Backdoor Plead:
La muestra de Plead desplegada es un downloader de primera fase. Una vez ejecutado, descarga desde el servidor el archivo fav.ico, cuyo nombre imita el del servidor oficial de ASUS WebStorage: update.asuswebstorage.com.ssmailer[.]com
El archivo descargado contiene una imagen en formato PNG además de datos utilizados por el malware, los cuales están ubicados justo detrás de los datos PNG. La Figura 6 representa la secuencia de bytes específica que el malware busca, y luego utiliza los siguientes 512 bytes como llave de cifrado RC4 con el fin de descifrar el resto de los datos.
Los datos descifrados contienen un binario PE para Windows, el cual puede ser droppeado y ejecutado utilizando uno de los nombres de archivo y rutas absolutos:
- %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\slui.exe
- %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe
- %TEMP%\DEV[4_random_chars].TMP
Al escribirse a sí mismo en la carpeta de inicio Start Menu, el malware logra persistencia –será cargado cada vez que el usuario se registre en el sistema.
El ejecutable droppeado es un loader de segunda fase cuyo propósito es descifrar el shellcode de su recurso PE y ejecutarlo en memoria. Este shellcode carga un DLL de tercera fase cuyo propósito es obtener un módulo adicional de un servidor C&C y ejecutarlo. El DLL de tercera fase y el módulo descargado son analizados profundamente por JPCERT y publicados en su blog post (referido allí como “TSCookie”).
Conclusión:
Los atacantes están constantemente buscando nuevas formas de desplegar su malware de una manera silenciosa. Hemos observado que cadena de suministro y ataques de Man in the Middle están siendo utilizados cada vez con más frecuencia por varios atacantes en distintas partes del mundo.
Esta es la razón por la que es muy importante que los desarrolladores de software no solo monitoreen a fondo sus propios entornos en busca de posibles intrusiones, sino que también es importante implementar mecanismos de actualización adecuados en sus productos que sean resistentes a ataques de Man in the Middle.
Previo a esta publicación, los investigadores de ESET notificaron a ASUS Cloud Corporation.
Origen: Malware Plead distribuido mediante ataques de Man in the Middle a nivel de router | WeLiveSecurity
