Das Unit 42-Team von Palo Alto Networks hat bei einem kürzlichen Angriff auf Black Basta eine Reihe von Tools und Malware-Beispielen aufgedeckt, wobei ein besonders böser Zug besondere Aufmerksamkeit erregt.
Die Kampagne verwendet jahrelange PlugX-Malware, um USB-Wechseldatenträger zu infizieren, die sich auf jeden Windows-Host auswirken können, mit dem sie verbunden sind.
Die Kampagne, die anscheinend seit mehr als einem Jahrzehnt existiert, wurde ursprünglich chinesischen Hackergruppen zugeschrieben, hat jedoch „im Laufe der Jahre eine sich entwickelnde Reihe von Fähigkeiten unterstützt“, was es sehr schwierig macht, Bedrohungen einer bestimmten Gruppe oder Einzelperson zuzuschreiben.
PlugX USB-Malware
In dieser neuesten Iteration stellten die Forscher fest, dass es selbst auf der neuesten Version von Windows fast unentdeckt bleiben kann, bis zu dem Punkt, an dem bösartige Dateien „nur auf einem Unix-ähnlichen Betriebssystem oder durch Mounten des USB-Geräts in einem forensischen Tool angezeigt werden können“.
Es verbirgt Dateien, indem es ein bestimmtes Unicode-Zeichen verwendet, wodurch Windows Explorer und die Befehlsshell daran gehindert werden, Benutzern die USB-Verzeichnisstruktur anzuzeigen, wodurch effektiv Dateien versteckt werden, die es von seinem Host kopiert hat. Es wurde festgestellt, dass es hauptsächlich auf Adobe PDF- und Microsoft Word-Dateien abzielt.
Der Bericht beschreibt, dass die Malware kontinuierlich nach neuen USB-Wechselgeräten sucht und die Opfer die PlugX-Malware dank ihrer „neuartigen“ Tricks unwissentlich weiter verbreiten.
Alle Einzelheiten zu den Ergebnissen und dem Prozess, dem die Malware folgen soll, finden Sie auf der Website von Palo Alto Networks. Webseite (öffnet in neuem Tab). Es verspricht auch, seine Ergebnisse mit anderen Mitgliedern der Cyber Threat Alliance (CTA) geteilt zu haben, zu denen Avast, McAfee und Sophos gehören.
Seine eigenen Produkte sollen Benutzer vor solchen Angriffen schützen, aber es fordert sie auf, sich zu melden, wenn sie glauben, dass sie infiziert wurden. Darüber hinaus werden Computerbenutzer aufgefordert, vorsichtig mit verdächtigen Websites, E-Mails und anderen Aktivitäten umzugehen, die die Quelle von Cyberangriffen sein könnten.