Chińskie złośliwe oprogramowanie przeznaczone do infekowania dysków USB również przypadkowo infekuje pamięć sieciową • The Register

Złośliwe oprogramowanie przeznaczone do rozprzestrzeniania się na dyskach USB nieumyślnie infekuje urządzenia pamięci masowej podłączone do sieci, według dostawcy Infosec Checkpoint.

Złe oprogramowanie pochodzi od grupy o nazwie Camaro Dragon, którą badacze z Checkpoint zrobili w czwartek Wniosek Rozpocznij kampanie podobne do mobów na chińskim Mustangu Pandzie i Luminous Moth.

Checkpoint uważa, że ​​Camaro Dragon jest najbardziej zainteresowany celami azjatyckimi — jego kod zawiera funkcje zaprojektowane w celu ukrycia ich przed SmadAV, popularnym rozwiązaniem antywirusowym w regionie.

Jednak firma po raz pierwszy dostrzegła działania gangu w Europie!

„Pacjent zero został zainfekowany złośliwym oprogramowaniem przez pracownika, który uczestniczył w konferencji w Azji” – napisali badacze z Checkpoint. Udostępnił swoją prezentację innym uczestnikom za pomocą dysku USB.Niestety, jeden z jego kolegów z klasy miał zainfekowany komputer, więc w rezultacie jego dysk USB został przypadkowo zainfekowany.

„Po powrocie do domu, do szpitala w Europie, pracownik włożył zainfekowany dysk USB do szpitalnych systemów komputerowych, co rozprzestrzeniło infekcję”.

Punkt kontrolny uważa, że ​​łańcuch infekcji rozpoczyna się, gdy ofiara uruchamia złośliwy program uruchamiający Delphi na zainfekowanym dysku flash USB. Spowoduje to uruchomienie backdoora, który ładuje złośliwe oprogramowanie na inne dyski, gdy są one podłączone do zainfekowanej maszyny.

Jest to złe, ale można je również powstrzymać za pomocą różnych technologii ograniczających urządzenia USB.

Złośliwe oprogramowanie stanowi większe zagrożenie dla IT przedsiębiorstwa, ponieważ zainfekowane urządzenia instalują złośliwe oprogramowanie na nowo podłączonych dyskach sieciowych, ale nie na dyskach już podłączonych do urządzenia w momencie infekcji.

Punkt kontrolny uważa, że ​​propagacja na nowo podłączone dyski sieciowe jest niezamierzona.

„Chociaż dyski sieciowe zainfekowane w ten sposób mogłyby teoretycznie zostać wykorzystane do przemieszczania się w poziomie w obrębie tej samej sieci, zachowanie to wydaje się bardziej wadą niż zamierzoną funkcją” – napisali naukowcy. „Manipulowanie wieloma plikami i zastępowanie ich plikami wykonywalnymi z ikoną dysku flash USB na dyskach sieciowych to oczywista czynność, która może przyciągnąć dodatkową niekorzystną uwagę”.

Wszyscy wiemy, że gangi zajmujące się cyberprzestępczością starają się nie ujawniać tak długo, jak to możliwe, aby ich zły kod mógł wykonać swoją złą robotę.

Jeśli ten kod zostanie uruchomiony, instaluje backdoora i próbuje wydobyć dane. To sprawia, że ​​pozornie przypadkowa infekcja pamięci sieciowej jest raczej niebezpieczna – w wielu instytucjach, w których przechowywane są dobre rzeczy.

Inną paskudną cechą tego złośliwego oprogramowania jest to, że „ładuje również biblioteki DLL z komponentami oprogramowania zabezpieczającego, takimi jak G-DATA Total Security i dwie duże firmy zajmujące się grami (Electronic Arts i Riot Games)”. Checkpoint poinformował twórców gry o ich nieświadomej roli w planach Camaro Dragon.

Checkpoint pisze, że widział symbol noszony przez USB w Mjanmie, Korei Południowej, Wielkiej Brytanii, Indiach i Rosji.

„Rozpowszechnienie i charakter ataków z wykorzystaniem samorozprzestrzeniającego się złośliwego oprogramowania USB wskazuje na potrzebę ochrony przed nimi, nawet w przypadku organizacji, które mogą nie być bezpośrednimi celami takich kampanii” — radzi firma. ®