I computer Asus sono di nuovo vulnerabili ad attacchi informatici: dopo la backdoor nascosta nella Live Update Utility, è stata ora scoperta una falla nel servizio cloud Asus WebStorage utilizzata dai criminal hacker per diffondere e installare il malware Plead.
A lanciare l’allarme sono stati i ricercatori di sicurezza ESET che hanno segnalato l’attività malevola collegata al gruppo di cyber spionaggio BlackTech.
Secondo i ricercatori, il malware Plead è stato utilizzato dai criminal hacker per aprire una backdoor nel computer degli utenti colpiti attraverso la quale hanno poi sferrato attacchi di tipo man-in-the-middle (MitM) ai danni di agenzie governative e organizzazioni private asiatiche. Dall’analisi dei ricercatori ESET risulta, comunque, che l’attacco ha coinvolto anche numerosi utenti privati e non è escluso che possa presto colpire altre vittime anche al di fuori del contesto asiatico.
Indice degli argomenti
Asus WebStorage a rischio attacco: dettagli tecnici
Il malware viene distribuito come un aggiornamento del servizio cloud WebStorage tramite il file chiamato ASUS Webstorage Update.exe. Una volta eseguito, il finto aggiornamento avvia la catena infettiva del malware Plead nascosto nell’eseguibile AsusWSPanel.exe.
Per nascondere la vera natura del file, i criminal hacker lo hanno firmato digitalmente con un certificato autentico rilasciato da ASUS Cloud Corporation. In questo modo, il file viene identificato da Windows come autentico e sicuro e può quindi essere eseguito senza alcun problema. Non si sa, ovviamente, come abbiano fatto i criminal hacker ad impossessarsi del certificato digitale.
I ricercatori ESET hanno individuato il certificato digitale rilasciato da Asus Cloud Corporation e utilizzato dai criminal hacker per “autenticare” il malware Plead.
Dopo aver compromesso il computer, il malware Plead apre la backdoor attraverso la quale i criminal hacker iniziano a spiare il traffico Internet. Questo perché gli aggiornamenti del servizio WebStorage vengono trasferiti sui computer degli utenti mediante una semplice connessione HTTP e, una volta scaricato, il software non ne verifica l’autenticità prima di avviarne l’installazione. Pertanto, se il processo di aggiornamento viene intercettato dai cyber criminali, questi ultimi sono in grado di intromettersi nel trasferimento mediante la tecnica del man-in-the-middle inviando un aggiornamento dannoso.
Ecco come i criminal hacker riescono a dirottare il modulo di aggiornamento del servizio WebStorage verso una URL compromessa dalla quale viene scaricato l’update malevolo.
Dai dati raccolti analizzando la campagna di attacco, inoltre, si è scoperto che il malware Plead può compromettere anche alcuni router per utilizzarli come server C&C da cui scaricare altro codice malevolo oppure utilizzato dai criminal hacker per impartire nuove istruzioni al malware.
Ad oggi, i ricercatori ESET non hanno comunicato i produttori di router coinvolti in quanto sono ancora in corso le indagini tecniche: quel che si sa è che i dispositivi colpiti da questa campagna appartengono allo stesso produttore e presentano un pannello di amministrazione direttamente accessibile da Internet, purtroppo vulnerabile ad un attacco man-in-the-middle.
Come mettere al sicuro il proprio PC Asus
In un post pubblicato sul sito ufficiale del servizio WebStorage, Asus ha comunicato di “essere venuta a conoscenza dell’incidente alla fine di aprile 2019, quando siamo stati contattati da un cliente con un problema di sicurezza. Dopo aver saputo dell’incidente, ASUS Cloud ha intrapreso un’azione immediata per mitigare l’attacco spegnendo il server di aggiornamento di ASUS WebStorage e bloccando l’emissione di tutte le notifiche di aggiornamento di ASUS WebStorage, bloccando così efficacemente l’attacco”.
“In risposta a questo attacco”, continua il comunicato, “ASUS Cloud ha rinnovato l’architettura host del server di aggiornamento e ha implementato misure di sicurezza volte a rafforzare la protezione dei dati. In questo modo si eviteranno attacchi simili in futuro. Tuttavia, ASUS Cloud raccomanda vivamente agli utenti dei servizi ASUS WebStorage di eseguire immediatamente una scansione completa dei virus per garantire l’integrità dei vostri dati personali”.
Per mitigare il rischio di un possibile attacco in ambito aziendale, oltre ad una scansione dei computer Asus potenzialmente vulnerabili a causa della falla nel servizio cloud WebStorage, è opportuno che i responsabili aziendali della sicurezza IT effettuino anche un monitoraggio accurato dell’ambiente digitale in cui operano per trovare possibili intrusioni.
È importante, inoltre, implementare nei prodotti utilizzati i meccanismi di aggiornamento adeguati che siano resistenti agli attacchi MitM (man-in-the-middle).