ESET investigadores han identificado un troyano Infostealer que se activa desde la unidad USB configurado especialmente para ella. La información ladrón puede deslizarse software antivirus pasado desapercibido y se ejecuta como un proceso svchost legítima en Windows. detecciones de malware Los nombres de los propuestos por ESET son Win32 / PSW.Stealer.NAI para la carga útil y Win32 / TrojanDropper.Agent.RFT para el cargador. El malware ha despertado el interés en el campo de la seguridad informática, y se ha dado el apodo “Ladrón USB”.
Información técnica en Thief USB
Al igual que en otros tipos de malware información de la copia, éste tiene varias etapas por las que opera metodológicamente, greatsoftline.com investigadores informan.
→ Escenario 1 Loader> Etapa 2 Loader> Etapa 3 Loader> Etapa 4 Cuentagotas carga útil y Roba Datos
Todas las primeras tres etapas están orientados principalmente en el éxito de la infección de la computadora, y Se tiene en cuenta la siguiente información del sistema:
- Se ejecuta la carga útil del USB?(Escenario 1)
- Será el usuario abra el cargador portátil infectado? (Escenario 1)
- ¿El archivo infectado que se lanzó ser configurado para ser verificada con éxito?(Escenario 2)
- ¿La información recopilada será suficiente para evitar interrupciones de la infección y el proceso de robo de datos? (En caso afirmativo, el malware se detiene el proceso de infección)(Escenario 2)
- Es el software AntVirus en la víctima PC que funciona y lo hace tener una protección en tiempo real?(Escenario 3).
La cuarta etapa es donde se está robando los datos reales. El módulo de esta etapa se crea un nuevo svchost.exe proceso en la siguiente ubicación:
→ %windir% system32
El módulo está configurado específicamente para priorizar automáticamente el que los datos a ser robados primero y se transfiere a la misma unidad. Para empezar, los investigadores señalan que el malware roba los datos completos árbol del registro HKCU. Además de eso, busca imágenes, así como los documentos. Se cree que esto debe hacerse mediante una aplicación gratuita llamada "WinAudit". Los archivos que se han copiado correctamente en la unidad se cifran utilizando CE (La curva elíptica) cifrar.
¿Cómo se protegerse
Este malware está diseñado con mucho cuidado. Tiene archivos ejecutables(módulos) así como los archivos de configuración para los ejecutables. Para evitar que los ingenieros de seguridad cibernética de la investigación se, un potente algoritmo de cifrado AES-128 en esos módulos se ha utilizado.
No solo esto, pero los nombres de los ejecutables son completamente al azar y para cada muestra de malware que se detecta, el ladrón del USB puede tener diferentes nombres de archivo. Este mecanismo de cifrado de archivos es muy familiar para CryptoWall 4.0 El ransomware que utiliza el mismo método para los archivos encripta, de modo similar o la misma configuración puede haber sido utilizado aquí.
Además de los mecanismos de protección, la unidad USB que lleva los componentes de malware está especialmente configurado de manera que le permite ejecutar estos módulos particulares sólo desde esta unidad. Esto significa que no se puede ejecutar el software malicioso de otros lugares, ya que se ha ejecutado con éxito sólo a través de su unidad USB.
Después de descifrar correctamente el AES-128 módulos cifrados del malware, investigadores de GreatSoftLine han llegado a la conclusión de que este malware utiliza sus etapas identificadas anteriormente en consecuencia, lo que significa que la etapa 1 gotas Etapa 2 de datos, etc..
Conclusión
Las características de este malware pueden no hacerlo muy extendida. Pero para los atacantes que se dirigen a la computadora específica o un dispositivo en una red de área local(LAN) con el objetivo de robar sus datos, este tipo de ataques son muy eficaces. Para empezar, muchos usuarios de la empresa local puede ser la oportunidad para que un hacker para robar los datos. Éstos son los riesgos para su red local de ordenadores que usted debe pensar en la hora de proteger la red:
- Una persona en el interior es la aplicación de la “las manos en” enfoque.
- El truco "unidad caído". - Una unidad flash que parece ser olvidado o perdido por alguien pero fue hecho a propósito. Esto es especialmente efectivo si la unidad perdida tiene información sobre ella, como el logotipo de su empresa, por ejemplo.
- unidades USB diseñados para parecerse a otros dispositivos (Teléfono, Ratón inalámbrico y otros Conector)
La conclusión es que debe haber una extensa educación de los usuarios dentro de una red y el acceso a ciertos elementos del equipo se debe limitar en cierta medida. Hacer eso y Siguiendo los consejos de seguridad recomendadas con la combinación de un potente software anti-malware es una buena receta para aumentar la protección global significativamente.