ESET araştırmacıları, Plead zararlı yazılımının Asus WebStorage üzerinden hedeflere nasıl dağıtıldığını analiz etti.
Temmuz 2018’de Plead arka kapısının D-Link Corporation tarafından verilen bir kod imzalama sertifikası ile dijital olarak imzalandığını keşfettik. Yakın zamanda aynı zararlı yazılım ile ASUS Cloud Corporation tarafından geliştirilen meşru yazılım arasında olası bir bağlantı tespit ettik.
TrendMicro’ya göre Plead zararlı yazılımı, BlackTech grubu tarafından hedefli saldırılarda kullanılan bir arka kapıdır. BlackTech grubu temel olarak Asya kıtasında siber casusluk faaliyetlerine odaklanmıştır.
Bu blog yazısında açıklanan yeni faaliyet, ESET tarafından Plead zararlı yazılımının en aktif şekilde dağıtıldığı Tayvan’da tespit edilmiştir.
Peki ne oldu?
Nisan 2019 sonlarında ESET telemetrisini kullanan ESET araştırmacıları, bu kötü amaçlı yazılımın dağıtılması için birden fazla sıradışı girişim gözlemlemiştir. Detay vermek gerekirse, Plead arka kapısı AsusWSPanel.exe adı verilen meşru bir işlem tarafından oluşturularak yürütülmüştür.
Bu işlem, ASUS WebStorage adlı bir bulut depolama hizmeti istemcisine aittir. Yürütülebilir dosya, ASUS Cloud Corporation tarafından dijital olarak imzalanmıştır.
Gözlenen tüm Plead örnekleri şu dosya adına sahiptir: Asus Webstorage Upate.exe. Araştırmamız, ASUS WebStorage’ın AsusWSPanel.exe modülünün yazılım güncelleme işlemi sırasında bu tür dosya adlarıyla dosyalar oluşturabileceğini doğrulamıştır.
Meşru bir yazılımın, Plead zararlısını neden oluşturup çalıştırabileceği hakkında çeşitli muhtemel açıklamalar vardır.
Anton Cherepanov tarafından kaleme alınan bu makalenin tamamına buradaki bağlantıdan ulaşabilirsiniz.
