Schließen Sie aus Sicherheitsgründen besser keinen auf der Straße gefundenen USB-Stick an Ihren Computer an. Sicherheitsforscher von Unit 42 (Palo Alto Networks) haben dies nun erneut bestätigt, als sie auf einen mit der PlugX-Malware infizierten USB-Stick stießen.
Ein bekannter Trojaner
Wenn sich PlugX auf einem Windows-Rechner verbreitet, soll es automatisch angeschlossene USB-Speichergeräte angreifen und anderen Rechnern den Weg ebnen. Laut dem Bericht der Forscher existiert die Malware seit mehr als einem Jahrzehnt und wurde angeblich unter anderem bei Cyberangriffen gegen die US-Regierung im Jahr 2015 eingesetzt.
Jetzt ist PlugX in zwei Varianten wieder aufgetaucht. Der Zweck des Trojaners besteht darin, Schadcode mit eigentlich legitimen Anwendungen auszuführen, indem er eine DLL von der Seite lädt. Eine weitere Option ist das Kopieren von PDF- und Word-Dokumenten.
Um Systeme zu infizieren, sollte PlugX vertrauenswürdige und digital signierte Software entführen. In diesem Fall sollte dies mit dem Open-Source-Debugging-Tool x64dbg von Windows erfolgen. Die Malware soll sich mit einer schadhaft kodierten X32bridge.dat-Datei an den DLL-Ladeprozess anhängen. Aktuell sollen nur neun der 60 Scanner mit dem Online-Analysedienst VirusTotal starten.
Im Stealth-Modus
Nach der Infektion sollte der Trojaner angeschlossene USB-Speichergeräte zur weiteren Verbreitung infizieren und sich dort verstecken. Die Malware nutzt unter anderem versteckte Ordner, die Windows standardmäßig nicht anzeigt.
Aktivisten bedienen sich noch eines weiteren Tarnungstricks: Sie verwenden bestimmte Unicode-Zeichen, die verhindern, dass der Windows-Explorer Daten auf einem USB-Stick anzeigt, selbst wenn Sie die Option zum Anzeigen versteckter Dateien in Windows aktivieren.
Alle Opfer sehen auf dem Stick eine Verknüpfung zu der Malware namens TESTDRIVE und ihre eigenen Daten, die auf dem Stick gespeichert sind. Die Forscher erklären, dass die vollständige Datenstruktur nur mit einem Unix-System sichtbar wird.
Wenn ein Opfer jetzt im Explorer auf eine Windows-Verknüpfungsdatei namens TESTDRIVE klickt, die wie ein USB-Flash-Laufwerkssymbol aussieht, öffnet es nicht nur das Laufwerk und sieht die darauf gespeicherten Dateien, sondern führt auch unwissentlich die Malware aus und fördert ihre Verwendung. Verbreitung.
PlugX kann sich auch in vom Internet isolierte Systeme (Air Gap) in kritischen Infrastrukturen einschleichen, indem es automatische Malware auf angeschlossenen USB-Speichermedien installiert.
Aktualisierung
31.01.2023
11:29
sehen
Die Verbreitung der Malware wird im Text näher beschrieben.
(von)
