|
|
华硕的更新机制再次被利用在用户 PC 上安装后门。Eset 的研究人员认为这是路由器级别的中间人攻击,攻击者利用了用户 PC 和华硕服务器之间的不安全 HTTP 连接,以及利用了不完整的代码签名去验证所接收文件的真实性。攻击者安装的后门叫 Plead,由间谍组织 BlackTech 使用。去年趋势科技报告 BlackTech 窃取了 友讯科技(D-Link)的证书去签名其恶意程序。上个月 Eset 的研究人员注意到 BlackTech 使用了一种不同寻常的方法将 Plead 植入到用户 PC。内含后门的文件叫 ASUS Webstorage Upate.exe,包含了华硕的更新。ASUS WebStorage 是华硕的云储存服务,没有证据显示它的服务器遭到了入侵,研究人员认为攻击者是通过中间人攻击拦截服务器和用户电脑的 HTTP 连接。研究人员还观察到,感染 Plead 的大部分机构使用了相同的路由器,该型号路由器的管理面板可通过互联网访问,因此一种可能的中间人攻击场景是攻击者纂改了路由器的域名系统。
|
|
收藏
