Este malware está a ser espalhado através do abuso de software legítimo desenvolvido pela ASUS Cloud Corporation. Ativo desde 2012, os executáveis relativos ao mesmo têm uma assinatura derivada de um certificado roubado.

O software legítimo a partir do qual o malware está a ser espalhado faz parte de um programa para Windows pertencente à webStorage da ASUS.

Para o malware se espalhar e desenvolver, segundo os especialistas, existe o cenário de Supply Chain e um ataque Man in the Middle.

Neste último caso, o pedido de atualização é processado através de um pedido HTTP, além de que não há qualquer validação da atualização transferida antes da execução, e caso o processo seja intercetado pelos hackers (dado ser por HTTP), podem muito bem colocar pelo meio uma atualização maliciosa.

Execução do malware (mais tecnicamente)

O ficheiro é baixado do servidor malicioso que age como um servidor oficial da ASUS.

Depois é desencriptado para outro executável.

A terceira fase será já o DL, ou TSCookie, que irá baixar módulos adicionais e formar um servidor C&C e executá-lo.

Capacidades do malware

Este malware tecnicamente é muito poderoso, pois consegue captar credenciais de login em browsers, fazer upload de ficheiros e executar aplicações, apagar ficheiros no alvo ,entre outros.

Fonte: https://securityintelligence.com/malware-campaign-uses-mitm-attack-to-distribute-plead-backdoor/