ESET descoperă un nou malware creat pentru furtul de date, care expoatează dispozitivele USB


Tomáš Gardoň, analist de malware, explică pentru We Live Security de ce un troian detectat de ESET drept Win32/PSW.Stealer.NAI – și denumit USB Thief – este unul dintre riscurile care trebuie să fie conștientizate.

“USB Thief este diferit, in multe aspecte, de multe alte tipuri de coduri malware comune pe care suntem obișnuiți să le vedem inundând internetul,” remarcă dl. Gardoň.

“Acesta folosește doar dispozitive USB pentru a se răspândi și nu lasă nici o urmă pe calculatorul compromis. Creatorii săi au adoptat mecanisme speciale pentru a proteja malware-ul împotriva reproducerii sau a copierii, astfel fiind mult mai greu de depistat sau analizat.

Când citiți despre un nou malware, prima întrebare care vă vine în minte este ‘Care este scopul creatorului său?’. Care este luarea ta de poziție față  de USB Thief?

Putem să le ghicim intențiile urmărind caracteristicile implementate în malware. Pentru că se bazează pe propagarea prin USB, malware-ul este capabil de atacuri pe sisteme izolate de internet. O altă particularitate a lui este ca nu lasă nici o evidență, fiind rulat de la un USB – victimele nu observă faptul că datele au fost furate.

O altă caracteristică –  cea care face acest malware neobișnuit – este că nu reprezintă doar un cod malițios care se bazează pe USB pentru răspândire, ci și că este legat la un singur dispozitiv USB,  fără  a se viza duplicarea sau copierea lui.

Această legătură, combinată cu implementarea sa sofisticată de criptare pe mai multe niveluri care se leagă, de asemenea,  de caracteristici ale USB-ului gazdă, face malware-ul foarte greu de detectat și analizat.

Ați putea specula pe marginea motivelor pentru care malware-ul este legat de un singur dispozitiv, fiind suplimentar criptat?

În mod tradițional, malware-ul este criptat, iar motivul evident pentru acest lucru este că astfel se previne detectarea sau – dacă este totuși detectat –  devine dificil de analizat. În acest caz, criptarea deservește și pentru a face legătura dintre malware și dispozitiv, în particular.

Cât despre motivele pentru s-a facut conexiunea între cod și dispozitiv – acest lucru face, în mod clar, ca malware-ul să nu se răspândească, prevenind astfel scurgerea sa în afara mediului targetat. Datorită faptului că atacul nu lasă urme, șansele sunt ca malware-ul să nu fie identificat dacă este ținut pe dispozitivul USB și șters de pe unitate după ce și-a completat misiunea

Malware-ul capabil de atacuri direcționate împotriva sistemelor izolate de internet – este un instrument chiar periculos, nu-i așa?

Ei bine, ținând cont de faptul ca organizațiile izolează o parte a sistemelor pentru un motiv bine determinat…da. Orice unealtă capabilă de atac asupra sistemelor air-gap (fără conexiune la internet) trebuie considerate ca una periculoasă. Mai mult decît atât, este capabil să dispară din sistem fără a lăsa vreo urmă.

Cum pot organizațiile sa combată atacurile bazate pe un astfel de tip de malware?

Acest malware este unic, datorită unor caracteristici particulare, dar apărarea împotriva sa se înadrează, încă, în capacitățile măsurilor generale de securitate cibernetică.

Mai important de atât, porturile USB ar trebui să fie dezactivate de fiecare dată când este posibil, iar dacă nu este posibil acest lucru, ar trebui implementate politici stricte în cazul lor. Este de preferat ca personalul, de la toate nivelurile de activitate, să participle la un training de Securitate informatică – inclusiv la testări reale – dacă este posibil…

… Pentru a nu cădea în tentația de a rula malware-ul, nu-i așa?

Din păcate, acesta nu este cazul lui USB Thief, deoarece folosește un truc neobișnuit pentru utilizator – beneficiază de faptul că dispozitivele USB stochează, de obicei, versiuni portabile ale unor aplicații precum Firefox portable, Notepad++ sau TrueCrypt portable  și a.s.m.d.

USB Thief poate fi stocat drept o sursă plug-in de aplicații portabile sau doar ca o librărie – DLL – utilizată de aplicația portabilă. Prin urmare, de fiecare dată când o astfel de aplicație este executată, malware-ul va fi, de asemenea, rulat pe fundal.

Dar lumea trebuie să înțeleagă riscurile asociate folosirii dispozitivelor USB provenite de la surse care nu sunt de încredere. Mai multe sondaje au arătat că oamenii sunt, în mod surprinzător, predispuși să insereze orice stick de memorie găsesc, în computerele lor.

Desigur, trebuie luate în considerare alte mijloace de protecție – de la perimetrul de protecție, până la  criptare și backup al datelor.

Când vorbim despre sisteme fără conexiune la internet, aici intră și categoria sistemelor industriale, nu-i așa? Acest malware nu este chiar atât de amenințător pentru sistemele industriale, din moment ce este capabil doar să fure date...

Există multe căi prin care băieții răi pot distruge un sistem, odată ce au intrat în el, iar încărcătura malware-ului poate fi reproiectată, plecând de la furtul de date, către orice tip de acțiune malițioasă.

Dl. Gardoň a oferit o analiză tehnică a troianului aici.

 

PETER STANCIK

CORESPONDENT INDEPENDENT

oana March 25, 2016

Lasa un comentariu