黑客利用华硕更新机制在用户 PC 上安装后门

华硕的更新机制再次被利用在用户 PC 上安装后门。Eset 的研究人员认为这是路由器级别的中间人攻击，攻击者利用了用户 PC 和华硕服务器之间的不安全 HTTP 连接，以及利用了不完整的代码签名去验证所接收文件的真实性。攻击者安装的后门叫 Plead，由间谍组织 BlackTech 使用。去年趋势科技报告 BlackTech 窃取了 友讯科技（D-Link）的证书去签名其恶意程序。上个月 Eset 的研究人员注意到 BlackTech 使用了一种不同寻常的方法将 Plead 植入到用户 PC。内含后门的文件叫 ASUS Webstorage Upate.exe，包含了华硕的更新。ASUS WebStorage 是华硕的云储存服务，没有证据显示它的服务器遭到了入侵，研究人员认为攻击者是通过中间人攻击拦截服务器和用户电脑的 HTTP 连接。研究人员还观察到，感染 Plead 的大部分机构使用了相同的路由器，该型号路由器的管理面板可通过互联网访问，因此一种可能的中间人攻击场景是攻击者纂改了路由器的域名系统。