ESET-Forscher haben einen Infostealer Trojan identifiziert, die speziell über USB-Laufwerk aktiviert ist dafür konfiguriert. Die Info-Stealer kann über Antiviren-Software unentdeckt gleiten und laufen als legitime svchost Prozess in Windows. Die Namen der Malware-Erkennungen gegeben von ESET sind Win32 / PSW.Stealer.NAI für die Nutzlast und Win32 / TrojanDropper.Agent.RFT für den Lader. Die Malware hat das Interesse an der Cyber-Security-Bereich gefangen, und es hat sich den Spitznamen “USB-Dieb”.
Technische Informationen zu USB-Dieb
Ähnlich wie bei anderen Informationen Kopieren von Malware, dieser hat mehrere Phasen, in denen es tätig ist methodologisch, greatsoftline.com Forscher berichten.
→ Stufe 1 Loader> Bühnen 2 Loader> Bühnen 3 Loader> Bühnen 4 Payload Dropper und Daten zu entwenden
Alle von den ersten drei Stufen werden hauptsächlich in die erfolgreiche Infektion des Computers orientierten, und sie berücksichtigen die folgenden Systeminformationen:
- Ist die Nutzlast vom USB ausgeführt?(Stufe 1)
- Öffnet der Benutzer den tragbaren infizierten loader? (Stufe 1)
- Wird die infizierte Datei, die gestartet werden konfiguriert ist, um erfolgreich verifiziert werden?(Stufe 2)
- Wird die gesammelten Informationen ausreichen, um Unterbrechungen der Infektion zu verhindern und die Daten-Diebstahl-Prozess? (Falls ja, die die Malware stoppt den Infektionsprozess)(Stufe 2)
- Ist die antvirus Software auf dem Opfer-PC läuft und es Echtzeitschutz hat?(Stufe 3).
Die vierte Stufe ist, wo die tatsächlichen Daten gestohlen wird. Das Modul dieser Phase erzeugt ein neues svchost.exe Prozess in der folgenden Position:
→ %windir% system32
Das Modul ist speziell automatisch zu priorisieren, welche Daten konfiguriert werden gestohlen ersten und an den selben Antriebs. Für den Anfang, Forscher betonen, dass die Malware die komplette HKCU Registrierungsstruktur Daten stiehlt. Darüber hinaus, es sieht aus, als auch Dokumente für Bilder. Es wird angenommen, über eine kostenlose Anwendung namens "WinAudit" getan werden. Die Dateien, die erfolgreich auf das Laufwerk kopiert wurden, werden verschlüsselt EG mit (Elliptic Curve) Chiffre.
Wie funktioniert es selbst schützen
Diese Malware ist sehr sorgfältig entworfen. Es hat ausführbare Dateien(Module) sowie Konfigurationsdateien für diese ausführbare. Um zu verhindern, Cyber-Sicherheitsingenieure es die Erforschung, eine leistungsstarke AES-128-Verschlüsselungsalgorithmus auf diesen Modulen verwendet worden ist.
Nicht nur das, aber die Namen der ausführbaren Dateien sind völlig zufällig und für jede Malware-Probe, die erkannt wird, kann der USB-Dieb unterschiedliche Dateinamen haben. Diese Datei Verschlüsselungsmechanismus ist sehr vertraut Crypto 4.0 Ransomware die verwendet die gleiche Methode für die Dateien, die er verschlüsselt, so ähnliche oder die gleiche Konfiguration verwendet wurden, dabei können.
Zusätzlich zu den Schutzmechanismen, das USB-Laufwerk die Malware-Komponenten trägt, ist speziell so gestaltet ist, dass es erlaubt Ihnen, diese bestimmte Module nur von diesem Laufwerk zu laufen. Das bedeutet, dass Sie können nicht die Malware von anderen Orten laufen, da sie nur dann erfolgreich über seinen USB-Stick ausgeführt wird.
Nach der erfolgreichen Entschlüsselung der AES-128 verschlüsselte Module der Malware, Forscher aus GreatSoftLine folglich geschlossen haben, dass diese Malware-Phasen seiner identifiziert oben verwendet, was bedeutet, dass die Stufe 1 fällt Bühne 2 Daten usw..
Abschluss
Die Funktionen dieser Malware möglicherweise nicht machen es sehr weit verbreitet. Aber für Angreifer, die bestimmten Computer oder ein Gerät in einem Local Area Network Ziel(LAN) mit dem Ziel, seine Daten zu stehlen, diese Art von Angriffen sind sehr effektiv. Für den Anfang, viele Benutzer in Ihrem lokalen Unternehmen kann die Chance für einen Hacker, die Daten zu stehlen. Hier sind die Risiken für Ihr lokales Netzwerk von Computern, die Sie denken sollten, wenn das Netzwerk schützen:
- Eine innere Person bewirbt sich die “Hände auf” Ansatz.
- Der "fiel drive" Hack. - Ein Flash-Laufwerk, das von jemand vergessen oder verloren zu sein scheint, aber es wurde absichtlich getan. Dies ist besonders wirksam, wenn die verlorene Laufwerk-Informationen auf sie, wie das Logo Ihres Unternehmens, beispielsweise.
- USB-Laufwerke wie andere Geräte aussehen entworfen (Telefon, Wireless Mouse Connector und andere)
Das Endergebnis ist, dass es innerhalb eines Netzwerks und der Zugriff auf bestimmte Elemente des Computers eine umfassende Aufklärung der Nutzer sein sollte, zu einem gewissen Grad eingeschränkt werden. Dadurch, dass und im Anschluss an die empfohlenen Sicherheitstipps mit der Kombination aus einem leistungsstarken Anti-Malware-Software ist ein gutes Rezept für umfassenden Schutz deutlich zu erhöhen.
Ventsislav Krastev
Ventsislav ist seitdem Cybersicherheitsexperte bei SensorsTechForum 2015. Er hat recherchiert, Abdeckung, Unterstützung der Opfer bei den neuesten Malware-Infektionen sowie beim Testen und Überprüfen von Software und den neuesten technischen Entwicklungen. Nachdem auch graduierte-Marketing, Ventsislav hat auch eine Leidenschaft für das Erlernen neuer Veränderungen und Innovationen in der Cybersicherheit, die zu Spielverändernern werden. Nach dem Studium des Wertschöpfungskettenmanagements, Netzwerkadministration und Computeradministration von Systemanwendungen, Er fand seine wahre Berufung in der Cybersecrurity-Branche und glaubt fest an die Aufklärung jedes Benutzers über Online-Sicherheit.
Folge mir: