De WebStorage-software van ASUS is door aanvallers gebruikt om systemen met malware te infecteren, zo hebben onderzoekers van antivirusbedrijf ESET ontdekt. WebStorage is, zoals de naam mag doen vermoeden, een cloudopslagdienst.
Door de WebStorage-software op je computer te installeren, kun je communiceren met de cloud. De onderzoekers hebben eind april geconstateerd dat er verschillende pogingen zijn ondernomen om de Plead-backdoor op systemen te installeren. Bij deze pogingen werd er gebruik gemaakt van het updateproces van de WebStorage-software.
Voornoemde kan gebaseerd zijn op verschillende scenario's, waaronder een "supply chain" aanval waarvoor de updateservers van ASUS kunnen zijn gebruikt. Afgelopen maart werd al bekend dat aanvallers ASUS Live Update hadden gebruikt om malware te verspreiden en daarmee de infrastructuur van de computerfabrikant verdacht hebben gemaakt.
In het geval van de Plead-backdoor is het scenario van een supply chain-aanval echter onwaarschijnlijk, temeer er geen aanwijzingen zijn dat de WebStorage-servers ooit malware hebben verspreid. Daarnaast werden er losse malwarebestanden gebruikt, in plaats van de kwaadaardige functionaliteit aan de legitieme software toe te voegen.
De onderzoekers kwamen daarmee uit op het gebruik van een man-in-the-middle-aanval. Het WebStorage-updateproces vindt namelijk plaats via onversleuteld http. Daarnaast blijkt de software de authenticiteit van aangeboden updates niet te controleren. Een aanvaller die tussen de gebruiker en het internet zit kan zo een kwaadaardige update aanbieden die vervolgens automatisch wordt geïnstalleerd.
Naast voornoemde heeft ESET geconstateerd dat er aanvallen plaatsvonden waarbij de aanvallers het updateverzoek van de WebStorage-software onderschepten en aanpasten. Vervolgens werd er vanaf een getroffen Taiwanees overheidsdomein malware gedownload. De virusbestrijder voegt daar aan toe dat softwareontwikkelaars maatregelen moeten nemen om hun updatemechanisme tegen man-in-the-middle-aanvallen te beschermen.
Bron: Security.nl
