Badacze bezpieczeństwa przeanalizowali wariant złośliwego oprogramowania PlugX, który może ukrywać złośliwe pliki na wymiennych nośnikach USB, by następnie infekować komputery z systemem Windows.
Czasy, w których głównym zagrożeniem z sieci było pobranie wirusa na komputer pozornie są już za nami. W dobie phishingu, scamu, ataków DDoS, robieniu farm botnetów, czy szeroko rozumianej cyberprzestępczości, „klasyczna infekcja” komputerowa staje się tak odległa, że część użytkowników może uważać, że takowych już nie ma. Niestety, jest to mylne założenie…
PlugX to złośliwe oprogramowanie, które było już używane od mniej więcej 2008 roku. Początkowo wirus ten, był wykorzystywany tylko przez chińskie grupy hakerskie – niektóre z nich nadal używają go z cyfrowo podpisanym oprogramowaniem do tzw. „sideload encrypted payloads”.
Słowniczek
Sideloading – proces przesyłania plików między dwoma urządzeniami lokalnymi, w szczególności między komputerem osobistym a urządzeniem.
Encrypted – (tłum. szyfrowanie) proces kodowania informacji.
Payloads – fragment przesyłanych danych, będący formą wiadomości. Payload nie zawiera informacji wysyłanych wraz z nim, takich jak nagłówki bądź metadane.
Złośliwe oprogramowanie pomimo wielu lat na karku, zostało wzbogacone o pewne funkcje, które pozwalają mu pozostać niewykrytym przez dłuższy czas i dają mu możliwość swobodnego rozprzestrzeniania się na inne komputery. A jaki jest efekt tych nowych funkcji? Otóż większość silników antywirusowych na platformie Virus Total nie oznacza pliku jako złośliwego, a wskaźnik wykrywalności wynosi niespełna 15%.
A jakie zadania ma pełnić PlugX? Otóż ma on dwa proste cele – zgrywać wszystkie pliki PDF i Word do ukrytego folderu oraz infekować każdy inny nośnik USB. Natomiast jak działa cały mechanizm? Tutaj już jest trochę więcej do omówienia. Badacze z Unit 42 (należącego do przedsiębiorstwa Palo Alto Networks) wyjaśniają, że napotkana przez nich wersja PlugX w pierwszej kolejności wykorzystuje znak Unicode (w postaci spacji) do utworzenia nowego katalogu w wykrytych dyskach USB. Efekt jest taki, że folder staje się niewidoczny w Eksploratorze Windows i w wierszu poleceń. Katalog oczywiście nadal jest widoczny w systemach typu Linux/Unix/BSD.
Aby uzyskać możliwość wykonywania złośliwego kodu przez oprogramowanie (z ukrytego katalogu), w folderze głównym urządzenia USB, tworzony jest plik skrótu Windows (.lnk). [...]
Ścieżka skrótu do złośliwego oprogramowania zawiera biały znak Unicode, […] który nie powoduje podziału wiersza, ale (sam skrót) nie jest widoczny w Eksploratorze Windows
– informuje zespół Unit 42
Szkodliwe oprogramowanie tworzy podkatalog „RECYCLER.BIN”, przechowujący kopie złośliwego oprogramowania na urządzeniu USB, a następnie (w stworzonym wcześniej ukrytym katalogu) plik „desktop.ini” imitujący plik LNK, który ma wyglądać jak ikona dysku USB. Przykład prezentowany jest poniżej.
W tym momencie jeżeli użytkownik spróbuje „wejść” na nośnik USB, to tak naprawdę uruchamia aplikację „x32dbg.exe” poprzez ukrytą sesją terminala (CMD), co powoduje infekcję hosta złośliwym oprogramowaniem PlugX. Jednocześnie otworzy się okno Eksploratora, aby pokazać zawartość dysku USB, dzięki czemu wszystko będzie wyglądać normalnie.
Kiedy wirus już „zagości” się w naszym komputerze, to będzie infekował każdy kolejny pendrive czy dysk, by móc się rozprzestrzeniać dalej. Równolegle PlugX (ten zagnieżdżony na nośnikach USB) będzie kopiował wcześniej wspomniane typy dokumentów do ukrytego folderu „da520e5”. Na razie nie wiadomo jednak, w jaki sposób przestępcy chcą pozyskiwać „zebrane” pliki z tego katalogu.
Przykład działania infekcji PlugX
Jako redakcja zachęcamy do monitorowania pracy swoich nośników USB i unikać ich „pożyczania” osobom trzecim. Pamiętajcie, że w eksploratorze plików możecie aktywować opcję „Ukryte elementy” w zakładce „Widok”.
Źródło: Bleeping Computer
Komentarze
11