Programul malware chinezesc destinat să infecteze unitățile USB, de asemenea, infectează accidental stocarea în rețea • Registrul

Programele malware destinate să se răspândească pe unitățile USB infectează din neatenție dispozitivele de stocare atașate la rețea, potrivit furnizorului Infosec Checkpoint.

Software-ul prost provine de la un grup numit Camaro Dragon pe care cercetătorii de la Checkpoint au făcut-o joi Propunere Lansați campanii asemănătoare mafiei pe Mustang Panda chinezesc și Luminous Moth.

Checkpoint consideră că Camaro Dragon este cel mai interesat de țintele asiatice – codul său include caracteristici concepute pentru a le ascunde de SmadAV, o soluție antivirus populară în regiune.

Cu toate acestea, compania a observat pentru prima dată activitățile bandei în Europa!

„Pacientul zero infecție cu malware a fost identificat ca un angajat care a participat la o conferință în Asia”, au scris cercetătorii Checkpoint. Și-a împărtășit prezentarea cu colegii participanți folosind unitatea sa USB. Din păcate, unul dintre colegii săi avea un computer infectat, așa că unitatea sa USB a fost infectată din neatenție.

„La întoarcerea acasă la spitalul din Europa, angajatul a introdus unitatea USB infectată în sistemele computerizate ale spitalului, care a răspândit infecția.”

Punctul de control consideră că lanțul de infecție începe atunci când victima lansează un lansator Delphi rău intenționat pe unitatea flash USB infectată. Acest lucru declanșează o ușă din spate care încarcă malware pe alte unități în timp ce acestea sunt conectate la mașina infectată.

Acest lucru este rău, dar poate fi controlat și prin utilizarea diferitelor tehnologii care restricționează dispozitivele USB.

Programele malware prezintă un risc mai mare pentru IT-ul întreprinderii, deoarece dispozitivele infectate instalează malware pe orice unitate de rețea nou conectată, dar nu și pe unitățile deja conectate la un dispozitiv în momentul infectării.

Punctul de control consideră că propagarea către unitățile de rețea nou conectate este neintenționată.

„Deși unitățile de rețea infectate în acest mod ar putea fi, teoretic, folosite ca mijloc de mișcare laterală în cadrul aceleiași rețele, acest comportament pare mai degrabă un defect decât o caracteristică intenționată”, scriu cercetătorii. „Manipularea multor fișiere și înlocuirea lor cu un fișier executabil cu o pictogramă de unitate flash USB pe unitățile de rețea este o activitate evidentă care poate atrage o atenție suplimentară nefavorabilă.”

Și știm cu toții că bandele criminale cibernetice încearcă să păstreze un profil scăzut cât mai mult timp posibil, astfel încât codul lor malefic să-și poată face treaba diabolică.

Dacă acest cod rulează, instalează o ușă în spate și încearcă să scoată datele. Acest lucru face ca infecția aparent accidentală a stocării în rețea să fie destul de periculoasă – în multe instituții în care sunt stocate lucrurile bune.

O altă caracteristică neplăcută a acestui malware este că „încarcă, de asemenea, DLL-uri laterale cu componente software de securitate, cum ar fi G-DATA Total Security și două companii majore de jocuri (Electronic Arts și Riot Games).” Checkpoint a informat dezvoltatorii jocului despre rolul lor involuntar în planurile pentru Camaro Dragon.

Checkpoint scrie că a văzut simbolul purtat de USB în Myanmar, Coreea de Sud, Marea Britanie, India și Rusia.

„Prevalența și natura atacurilor care utilizează malware USB cu autopropagare demonstrează necesitatea de a se proteja împotriva acestora, chiar și pentru organizațiile care ar putea să nu fie ținte directe ale unor astfel de campanii”, recomandă compania. ®