Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Personal
  • Malware Plead Serang Router Melalui MitM
  • Sektor Personal

Malware Plead Serang Router Melalui MitM

3 min read

Credit image: Pixabay

Semua berawal pada Juli 2018, ketika ESET menemukan bahwa backdoor Plead ditandatangani secara digital oleh sertifikat penandatanganan kode yang dikeluarkan untuk D-Link Corporation. Belum lama ini ESET mendeteksi aktivitas baru yang melibatkan malware yang sama dan kemungkinan koneksi ke perangkat lunak yang sah yang dikembangkan oleh ASUS Cloud Corporation.

Malware Plead adalah backdoor yang digunakan oleh kelompok BlackTech dalam serangan yang ditargetkan (Targeted attack). Kelompok ini juga diketahui aktif dalam kegiatan spionase siber di kawasan Asia.

Berlanjut di akhir April 2019 saat peneliti ESET yang menggunakan telemetri ESET mengamati beberapa upaya untuk menyebarkan malware Plead dengan cara yang tidak biasa. Secara khusus, backdoor Plead dibuat dan dieksekusi oleh proses yang sah bernama AsusWSPanel.exe. Proses ini milik klien Windows untuk layanan penyimpanan cloud yang disebut ASUS WebStorage

Semua sampel Plead yang diamati memiliki nama file berikut: Asus Webstorage Upate.exe [sic]. Penelitian ESET mengkonfirmasi bahwa modul AsusWSPanel.exe dari ASUS WebStorage dapat membuat file dengan nama file seperti itu selama proses pembaruan perangkat lunak. Ada beberapa kemungkinan penjelasan mengapa perangkat lunak yang sah dapat membuat dan menjalankan malware Plead, berikut kemungkinan skenarionya:

  1. Serangan rantai pasokan

Rantai pasokan membuka peluang tanpa batas bagi pelaku untuk secara diam-diam mengkompromikan sejumlah besar target pada saat yang sama, itulah mengapa jumlah serangan rantai pasokan meningkat. Dalam beberapa tahun terakhir para peneliti ESET menganalisis kasus-kasus seperti M.E.Doc, Elmedia Player, VestaCP, Statcounter, dan industri Gaming.

Untuk peneliti malware, tidak selalu mudah untuk mendeteksi dan mengonfirmasi serangan rantai pasokan tertentu, terkadang tidak ada cukup bukti untuk membuktikannya. Ketika kita memikirkan kemungkinan serangan rantai pasokan ASUS WebStorage, kita harus mempertimbangkan poin-poin berikut:

  • Binari ASUS WebStorage yang sah dikirimkan melalui mekanisme pembaruan yang sama.
  • Saat ini, kami tidak mengetahui bahwa server ASUS WebStorage digunakan sebagai server C&C atau telah melayani binari jahat
  • Pelaku menggunakan file malware mandiri alih-alih menggabungkan fungsi berbahaya di dalam perangkat lunak yang sah

Oleh karena itu, ESET menganggap hipotesis kemungkinan serangan rantai pasokan sebagai skenario yang kurang memungkinkan. Namun, ESET tidak dapat menjamin sepenuhnya.

2. Serangan Man in the Middle

Perangkat lunak ASUS WebStorage rentan terhadap serangan Man in the Middle (MitM). Yaitu, pembaruan perangkat lunak diminta dan ditransfer menggunakan HTTP, setelah pembaruan diunduh dan siap dieksekusi, perangkat lunak tidak memvalidasi keasliannya sebelum dieksekusi. Dengan demikian, jika proses pembaruan disadap oleh peretas, mereka dapat mendorong pembaruan berbahaya.

Peneliti ESET terbiasa dengan kasus-kasus ketika malware dikirim menggunakan serangan MitM di tingkat ISP, seperti FinFisher, StrongPity2, dan kasus Mosquito Turla. Menurut penelitian sebelumnya peretas di balik malware Plead membahayakan router yang rentan dan bahkan menggunakannya sebagai server C&C untuk malware tersebut.

Investigasi ESET menemukan bahwa sebagian besar organisasi yang terkena dampak memiliki router yang dibuat oleh produsen yang sama. Selain itu, panel admin dari router ini dapat diakses dari internet. Dengan demikian, ESET menyakini bahwa serangan MitM di tingkat router adalah skenario yang paling mungkin.

Seperti disebutkan di atas, perangkat lunak ASUS WebStorage meminta pembaruan menggunakan HTTP. Secara khusus, itu mengirimkan permintaan ke server update.asuswebstorage.com, yang mengirim jawaban kembali dalam format XML. Elemen terpenting dalam respons XML adalah panduan dan tautan.

Elemen panduan berisi versi yang saat ini tersedia, elemen tautan berisi URL unduhan yang digunakan untuk pembaruan. Proses pembaruan sederhana: perangkat lunak memeriksa apakah versi yang diinstal lebih tua dari versi terbaru; jika demikian, maka ia meminta biner menggunakan URL yang disediakan. Oleh karena itu, pelaku dapat memicu pembaruan dengan mengganti kedua elemen ini menggunakan data mereka sendiri. Ini adalah skenario tepat yang sebenarnya ESET amati di dunia maya.

ESET menilai bahwa peretas terus mencari cara baru untuk mengirimkan malware mereka dengan cara yang lebih tersembunyi. ESET melihat bahwa serangan rantai pasokan dan Man in the Middle (MitM) semakin sering digunakan oleh berbagai peretas di seluruh dunia.

Inilah sebabnya mengapa sangat penting bagi pengembang perangkat lunak untuk tidak hanya memonitor lingkungan mereka secara menyeluruh untuk kemungkinan gangguan, tetapi juga untuk menerapkan mekanisme pembaruan yang tepat dalam produk mereka yang tahan terhadap serangan MitM.

Tags: Antivirus ESET Antivirus Super Ringan Antivirus Terbaik ASUS BacaPikirshare Blacktech ESET Malware Plead MitM Prosperita Serang router spionase Spionase Siber Targeted Attack

Continue Reading

Previous: ESET Temukan Kerentanan pada Kamera Cloud D-Link DCS-2132L
Next: Sebuah Kota Membayar Tebusan Ransomware 6,4 Miliar Apakah Keputusan Tepat?

Related Stories

Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025
Membongkar Rahasia Cara Kerja VPN Membongkar Rahasia Cara Kerja VPN
6 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Membongkar Rahasia Cara Kerja VPN

June 2, 2025

Recent Posts

  • Manipulasi Psikologis di Balik Serangan Social Engineering Anak
  • Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
  • SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025
SIM Card Dari Fisik ke Digital dan Risiko di Baliknya SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
4 min read
  • Teknologi

SIM Card Dari Fisik ke Digital dan Risiko di Baliknya

June 3, 2025
Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025

Copyright © All rights reserved. | DarkNews by AF themes.