Nova amostra PlugX usa métodos sorrateiros e pode impactar sistemas

Os métodos são usados ​​para propagar o malware para sistemas adicionais.

Conhecendo a variante

A Palo Alto Networks descobriu o artefato durante uma resposta a um incidente após um ataque de ransomware  

Black Basta .

• A nova variante wormable PlugX permanece em modo oculto no Windows e as vítimas não poderão aprender sobre qualquer infecção sem uma ferramenta forense.
• Ferramentas adicionais detectadas no ambiente comprometido incluem o carregador Gootkit e a estrutura de equipe vermelha Brute Ratel C4.
• Após a infecção, ele copia todos os documentos do Microsoft Word e Adobe PDF da máquina infectada para uma pasta oculta no dispositivo USB.

No entanto, os pesquisadores não puderam confirmar se todas as ferramentas foram usadas pelo grupo Black Basta, e existe a possibilidade do envolvimento de vários grupos nos ataques.

Detalhes técnicos

Essa variante USB usa um caractere unicode específico, denominado espaço sem quebra (U+00A0), para ocultar arquivos em um dispositivo USB conectado a uma estação de trabalho.

• Um arquivo de atalho do Windows (.LNK), criado na pasta raiz da unidade flash, é usado para executar o malware a partir do diretório oculto.
• O PlugX tem a tarefa de implantar o malware no host e copiá-lo em qualquer dispositivo removível que possa ser conectado a ele, ocultando-o dentro de uma pasta chamada lixeira.
• Sempre que o arquivo de atalho é clicado, o PlugX inicia o Windows Explorer e passa o caminho do diretório como parâmetro. Ele mostra os arquivos no dispositivo USB dos diretórios ocultos e infecta ainda mais o host com o malware PlugX.

Conclusão

As amostras recentes indicam que os hackers estão desenvolvendo e implantando ativamente o PlugX. Além disso, eles poderiam transformar essa ferramenta em uma arma mais furtiva para roubar arquivos de máquinas sem ar. Sugere-se que as organizações tenham defesa de segurança profunda e multicamadas para proteger todos os pontos finais.

Fonte: https://cyware.com/