ESET forskere har identificeret en Infostealer trojansk der aktiveres via USB-drev specielt konfigureret til det. Info stjæler kan slippe forbi antivirus-software uopdaget og køre som en legitim svchost proces i Windows. Den malware er detektioner navne givet af ESET er Win32 / PSW.Stealer.NAI for nyttelasten og Win32 / TrojanDropper.Agent.RFT for læsseren. Den malware har fanget interesse i cyber sikkerhedsområdet, og det har fået kælenavnet “USB Thief”.
Tekniske oplysninger om USB Thief
Ligner andre oplysninger kopiering malware, denne ene har flere etaper i det metodologisk opererer, greatsoftline.com forskere rapporterer.
→ Stage 1 Loader> Stage 2 Loader> Stage 3 Loader> Stage 4 Payload Dropper og Data stjæle
Alle de tre første etaper er primært orienteret i den vellykkede infektion af computeren, og de tager hensyn til følgende systemoplysninger:
- Er nyttelasten udføres fra USB?(Stage 1)
- Vil brugeren åbne den bærbare inficerede loader? (Stage 1)
- Vil inficerede fil, der er lanceret konfigureres til at blive kontrolleret med succes?(Stage 2)
- Vil de indsamlede oplysninger være tilstrækkelige til at forhindre afbrydelser af infektion og data-stjæle proces? (Hvis ja, Den malware stopper infektionen processen)(Stage 2)
- Er AntVirus software på offerets pc kører og har det Real-Time beskyttelse?(Stage 3).
Den fjerde fase er der, hvor de faktiske data bliver stjålet. Modulet af denne fase skaber en ny svchost.exe proces på følgende placering:
→ %windir% system32
Modulet er specifikt konfigureret til at prioritere automatisk, hvilke data, der skal stjålet først og overføres til den samme drev. For startere, Forskerne peger, at malware stjæler komplette HKCU registreringsdatabasen træ data. Hertil kommer, at, det ser ud til billeder samt dokumenter. Dette menes at ske via et gratis program kaldet "WinAudit". Filerne, der med succes er blevet kopieret til drevet er krypteret med EF (elliptisk kurve) cypher.
Hvordan virker det beskytte sig selv
Dette malware er meget omhyggeligt designet. Det har eksekverbare filer(moduler) samt konfigurationsfiler for disse eksekverbare. For at forhindre cyber-sikkerheds ingeniører fra forske det, en kraftfuld AES-128 kryptering algoritme på disse moduler er blevet brugt.
Ikke kun dette, men navnene på sine eksekverbare er helt tilfældig og for hver malware prøve, som er opdaget, USB Thief kan have forskellige filnavne. Denne fil kryptering mekanisme er meget velkendt for CryptoWall 4.0 Ransomware der bruger samme metode til filerne krypterer, så ens eller den samme konfiguration kan have været anvendt her.
Ud over disse beskyttelsesmekanismer, USB-drev bærer malware komponenter er specielt indrettet således, at det giver dig mulighed for at køre disse særlige moduler kun fra dette drev. Det betyder at du kan ikke køre malware fra andre steder, da det med succes udføres kun via sin USB-drev.
Efter en vellykket dekryptering af AES-128 krypterede moduler af malware, forskere fra GreatSoftLine har konkluderet, at denne malware bruger sine ovenfor identificerede faser derfor, hvilket betyder, at trin 1 dråber Stage 2 data og så videre.
Konklusion
Funktionerne i denne malware kan ikke gøre det meget udbredt. Men for angribere, der er målrettet specifikke computer eller en enhed i et lokalnetværk(LAN) med et mål at stjæle sine data, denne type angreb er meget effektiv. For startere, mange brugere i din lokale virksomhed kan være mulighed for en hacker at stjæle data. Her er risikoen for dit lokale netværk af computere, som du bør tænke på, når beskytte netværket:
- En indvendig person, anvender det “praktisk erfaring” tilgang.
- Den "droppet drive" hack. - En flash-drev, der synes at være glemt eller mistet af en person, men det blev gjort med vilje. Dette er især effektiv, hvis den tabte drev har oplysninger om det, ligesom logoet for din virksomhed, for eksempel.
- USB-drev designet til at ligne andre enheder (Telefon, Wireless Mouse Stik og andre)
Den nederste linje er, at der skal være en omfattende uddannelse af brugere i et netværk og adgang til visse dele af computeren bør begrænses til en vis grad. Gør det, og efter de anbefalede sikkerhed tips med kombinationen af et stærkt anti-malware-software er en god opskrift på at øge de samlede beskyttelse betydeligt.
Ventsislav Krastev
Ventsislav er cybersikkerhedsekspert hos SensorsTechForum siden 2015. Han har forsket, tildækning, hjælpe ofre med de nyeste malware-infektioner plus test og gennemgang af software og den nyeste teknologiudvikling. Have uddannet Marketing samt, Ventsislav har også lidenskab for at lære nye skift og innovationer inden for cybersikkerhed, der bliver spiludskiftere. Efter at have studeret Management Chain Management, Netværksadministration og computeradministration af systemapplikationer, han fandt sit rigtige kald inden for cybersecurity-branchen og er en stærk troende på uddannelse af enhver bruger til online sikkerhed og sikkerhed.
Følg mig: