Aus Sicherheitsgründen ist es besser, einen auf der Straße gefundenen USB nicht mit dem eigenen Computer zu verbinden. Sicherheitsforscher von Unit 42 (Palo Alto Networks) haben dies nun erneut bestätigt, als sie auf ein mit der PlugX-Malware infiziertes USB-Gerät stießen.
Der berühmte Trojaner
Verbreitet sich PlugX auf einem Windows-PC, soll es automatisch den angeschlossenen USB-Datenprovider angreifen und so den Weg zu anderen Rechnern öffnen. Laut einem Bericht von Forschern gibt es die Malware seit mehr als einem Jahrzehnt und soll unter anderem bei Cyberangriffen auf die US-Regierung im Jahr 2015 eingesetzt worden sein.
Jetzt ist PlugX in zwei Varianten wieder aufgetaucht. Der Zweck des Trojaners besteht darin, bösartigen Code auszuführen, indem er eine DLL von der Seite in die Anwendung lädt. Die zweite Variante ist darauf ausgelegt, PDF- und Word-Dokumente zu kopieren.
Um Systeme zu infizieren, sollte PlugX vertrauenswürdige Software entführen und digital signieren. Im aktuellen Fall soll dies mit dem Open-Source-Debugging-Tool für Windows x64dbg erfolgen. Die Malware soll sich mit einer schadhaft kodierten X32bridge.dat-Datei an den DLL-Ladeprozess anhängen. Aktuell sollen nur neun von 60 Scannern mit dem Online-Analysedienst VirusTotal starten.
Im Stealth-Modus
Nach der Infektion sollte der Trojaner den angeschlossenen USB-Datenprovider infizieren und sich dort verstecken, um sich weiter zu verbreiten. Die Malware nutzt unter anderem versteckte Ordner, die Windows standardmäßig nicht anzeigt.
Die Kommandeure der Kampagne bedienen sich außerdem eines weiteren Tarnungstricks: Sie verwenden einige Unicode-Zeichen, die verhindern, dass der Windows Explorer die Daten auf dem USB-Stick anzeigt, selbst wenn Sie die Option zum Anzeigen versteckter Dateien in Windows aktivieren.
Das einzige, was das Opfer auf dem Stick sieht, ist eine Verknüpfung zu einer Malware namens TESTDRIVE und seine eigenen Daten, die auf dem Stick gespeichert sind. Die vollständige Datenstruktur sei nur bei Unix-Systemen sichtbar, erklärten die Forscher.
Wenn ein Opfer jetzt im Explorer auf eine Windows-Verknüpfungsdatei namens TESTDRIVE klickt, die wie ein USB-Speichergerät-Symbol aussieht, öffnet es nicht nur die Festplatte und sieht sich die darauf gespeicherten Dateien an, sondern führt auch unwissentlich Malware aus und schiebt sie. Vermehrung.
Durch die automatische Installation von Malware auf angeschlossenen USB-Datenprovidern kann PlugX auch in vom Internet isolierte Systeme (Air Gaps) kritischer Infrastrukturen eindringen.
Aktualisiert
31.01.2023
11:29
Betrachten
Näheres zur Verbreitung von Malware im Text.
(von)
