Nova amostra PlugX usa métodos sorrateiros e pode impactar sistemas
Especialistas descobriram uma nova amostra PlugX que usa métodos sorrateiros para infectar dispositivos de mídia USB removíveis anexados, como disquetes, pendrives ou unidades flash, e quaisquer sistemas adicionais aos quais o USB seja conectado posteriormente.
Os métodos são usados para propagar o malware para sistemas adicionais.
Conhecendo a variante
A Palo Alto Networks descobriu o artefato durante uma resposta a um incidente após um ataque de ransomware
- A nova variante wormable PlugX permanece em modo oculto no Windows e as vítimas não poderão aprender sobre qualquer infecção sem uma ferramenta forense.
- Ferramentas adicionais detectadas no ambiente comprometido incluem o carregador Gootkit e a estrutura de equipe vermelha Brute Ratel C4.
- Após a infecção, ele copia todos os documentos do Microsoft Word e Adobe PDF da máquina infectada para uma pasta oculta no dispositivo USB.
No entanto, os pesquisadores não puderam confirmar se todas as ferramentas foram usadas pelo grupo Black Basta, e existe a possibilidade do envolvimento de vários grupos nos ataques.
Detalhes técnicos
Essa variante USB usa um caractere unicode específico, denominado espaço sem quebra (U+00A0), para ocultar arquivos em um dispositivo USB conectado a uma estação de trabalho.
- Um arquivo de atalho do Windows (.LNK), criado na pasta raiz da unidade flash, é usado para executar o malware a partir do diretório oculto.
- O PlugX tem a tarefa de implantar o malware no host e copiá-lo em qualquer dispositivo removível que possa ser conectado a ele, ocultando-o dentro de uma pasta chamada lixeira.
- Sempre que o arquivo de atalho é clicado, o PlugX inicia o Windows Explorer e passa o caminho do diretório como parâmetro. Ele mostra os arquivos no dispositivo USB dos diretórios ocultos e infecta ainda mais o host com o malware PlugX.
Conclusão
As amostras recentes indicam que os hackers estão desenvolvendo e implantando ativamente o PlugX. Além disso, eles poderiam transformar essa ferramenta em uma arma mais furtiva para roubar arquivos de máquinas sem ar. Sugere-se que as organizações tenham defesa de segurança profunda e multicamadas para proteger todos os pontos finais.
Fonte: https://cyware.com/