Actores maliciosos han comprometido el mecanismo de actualización del fabricante de tecnología Asus para instalar un malware que permite el acceso no autorizado a estos equipos de cómputo (backdoor). Acorde a expertos en seguridad de aplicaciones web, esto se debe a una campaña de ataques Man-In-The-Middle (MiTM) contra enrutadores para explotar algunas conexiones HTTP inseguras entre usuarios de computadoras Asus y servidores de la compañía.
Este malware, conocido como Plead, fue desarrollado por un grupo de hackers especializados en el ciberespionaje que la comunidad de la ciberseguridad ha identificado como BlackTech Group; este grupo ataca principalmente a compañías privadas y agencias gubernamentales en territorio asiático.
Acorde a expertos, en anteriores oportunidades este grupo ha atacado a compañías como D-Link mediante correos de phishing y comprometiendo enrutadores para usarlos como servidores de comando y control y desplegar malware.
Esta ocasión, los expertos en seguridad de aplicaciones web descubrieron que BlackTech desarrolló un nuevo método para desplegar Plead en los sistemas objetivo. Los atacantes abusaron de un archivo llamado ASUS Webstorage Upate.exe, que va incluido en una actualización de la compañía. Después de una investigación, los expertos determinaron que las infecciones eran creadas y ejecutadas desde esta ubicación, aprovechándose de procesos legítimos de Windows y de las firmas digitales de Asus.
Los expertos descubrieron que el software Asus WebStorage es vulnerable a ataques MiTM (en los que los hackers toman control de los datos que viajan a través de una conexión) debido al uso de conexiones HTTP sin cifrado, en lugar de conexiones HTTPS, que cuentan con protección contra esta variante de ataque. Además, Asus no verifica la autenticidad del software antes de ejecutar, por lo que es posible que los atacantes interceptaran los procesos legítimos del sistema para inyectar el malware en lugar del archivo de la compañía.
Como medida de respuesta al incidente, Asus Cloud rediseñó la arquitectura de su servidor de actualizaciones, además de implementar algunas protecciones para asegurar los datos confidenciales del sistema. No obstante, especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los usuarios de los equipos comprometidos realizar un análisis antivirus para corroborar que los hackers no hayan accedido a su información confidencial.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
