هشدارهای افتایی
 مهاجمین در حال سوء استفاده از سیستم ASUS WebStorage از طریق حملات مرد میانی (Man-in-the-Middle)هستند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، در این حملات بدافزار Plead توزیع شده است که این بدافزار با ترکیب درپشتی Plead و ابزار استخراج Drigo به فرایندهای سرقت داده می‌پردازد.
بدافزار Plead در گذشته از طریق اکسپلویت‌های عمومی مانند CVE-2015-5119، CVE-2012-0158 و CVE-2014-6352 منتشر می‌شد، اما در جولای 2018، پژوهشگران ESET متوجه شدند که این بدافزار از طریق یک گواهی به سرقت رفته از D-Link نیز توزیع شده است. این بدافزار توسط فرایند پردازشی AsusWSPanel.exe که در سیستم‌عامل ویندوز برای مدیریت ASUS WebStorage استفاده می‌شود، ایجاد و اجرا می‌شود.
در تمامی نمونه‌های مشاهده شده توسط ESET از نام ASUS Webstorage Upate.exe استفاده شده است. به گفته پژوهشگران ESET ،زمانی که بدافزار Plead به رایانه قربانی منتقل می‌شود، یک دانلودکننده یک فایل fav.ico را از یک سرور دریافت می‌کند. این سرور خود را در قالب سرور رسمی ASUS WebStorage جا می‌زند و فایل مخربی که منتقل می‌کند توسط بدافزار Plead رمزگشایی می‌شود. سپس یک فایل اجرایی دیگر که قادر به رمزگشایی shellcode دیگری برای اجرا در حافظه است، در سیستم قربانی بارگذاری می‌شود. این shellcode یک فایل DLL با نام TSCookie را بارگیری می‌کند که می‌تواند داده‌هایی از قبیل اطلاعات سیستم‌عامل و اطلاعات احرازهویت کاربر را به سرقت ببرد.
در یک سناریو دیگر، حملات مرد میانی می‌تواند در سطح مسیریاب انجام شود که شناسایی این نوع حمله مشکل خواهد بود و منجر به از بین رفتن داده‌ها و یا دستکاری نشست‌های مرورگر و هدایت کاربر در مرورگر می‌شود. از آنجایی که ASUS WebStorage از طریق HTTP به‌روزرسانی می‌شود، این درخواست‌ها قبل از اجرا اعتبارسنجی نمی‌شوند. این موضوع باعث می‌شود تا مهاجمین بتوانند در فرایندهای به‌روزسانی توسط مداخله کنند.
نشانه‌های آلودگی (IoC):
هش‌های Plead:
•    77F785613AAA41E4BF5D8702D8DFBD315E784F3E
•    322719458BC5DFFEC99C9EF96B2E84397285CD73
•    F597B3130E26F184028B1BA6B624CF2E2DECAA67
 سرورهای C&C:
•    update.asuswebstorage.com.ssmailer[.]com
•    www.google.com.dns-report[.]com

منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.