Un grupo de piratería desconocido está detrás de una nueva amenaza peligrosa que se llama el malware USBCulprit. Está diseñado para infiltrarse silenciosamente en sistemas seguros que son aire-gapped — Esto significa que no estarán conectados a la red externa. Varios países en este momento están siendo atacados, ubicado principalmente en Asia.
Ordenadores con espacio de aire espiados por el avanzado malware USBCulprit
Un grupo o individuo de piratería desconocido ha creado una nueva amenaza peligrosa identificada por muchos expertos en seguridad como Malware USBCulprit. En comparación con otros virus de uso general, este está diseñado para entrar en el llamado dispositivos de computadora con espacio de aire. Estas suelen ser infraestructuras críticas, servidores y otros equipos informáticos de alto perfil que están aislados deliberadamente de otros equipos de red.
Hay varios nombres que se utilizan para referirse al hacker y / o al malware en sí: Panda Goblin, Cycldek y Conimes, Gracias a las muestras analizadas podemos revisar que se ha integrado un amplio conjunto de características. Hay varias categorías que se utilizan para describir las acciones individuales que puede realizar el malware:
- Interacción de archivos — Esto incluye todas las acciones relacionadas con la manipulación de datos de cualquier tipo.: creación de archivos y modificación y eliminación de archivos existentes. Esto también se extiende a directorios.
- El robo de datos — Los hackers pueden usar el malware USBCulprit para robar archivos de los discos duros conectados localmente, dispositivos de almacenamiento extraíbles y recursos compartidos de red cuando estén disponibles.
- Tareas relacionadas con la seguridad — Esta categoría incluye los principales métodos utilizados para ayudar al virus a infiltrarse en los sistemas de destino..
Por el momento, aún no se conoce la estrategia exacta de infección utilizada por los piratas informáticos detrás de la amenaza.. Los investigadores creen que el el motor principal se basa en medios extraíbles USB. Esto significa que una unidad flash USB infectada o una unidad externa se debe llevar a una red que pueda alcanzar la computadora objetivo con espacio de aire.
Más información sobre el malware USBCulprit
Las infecciones que conducen al despliegue del malware USBCulprit son causadas por dispositivos extraíbles infectados o actividad previa de virus. Los hackers están usando una amenaza llamada NewCore como el principal mecanismo de entrega de carga útil. Se divide en sí mismo dos versiones - BlueCore y RedCore. Incluyen funcionalidad keylogger que está diseñado para registrar las pulsaciones de teclas y la entrada de movimiento del mouse por parte de los usuarios. Otra funcionalidad importante es la integración de un Función de robo RDP — detectará si los administradores de la computadora instalan algún software de inicio de sesión de escritorio remoto y robará las credenciales. Esto permitirá a los hackers tomar el control de los hosts a través de una aplicación legítima.. Desde la perspectiva del administrador de la red, esto se marcará como un intento de inicio de sesión normal y no generará ninguna alarma de que un intruso haya obtenido acceso a la red..
Estas dos herramientas también incluyen la función para entregar el malware USBCulprit como parte de su secuencia de comportamiento. Uno de los comandos asociados con esta amenaza es el colección de documentos que luego se exportará al dispositivo de almacenamiento extraíble conectado. Los hackers se están centrando en un estrategia de movimiento lateral lo que significa que dependerán de la unidad USB infectada para realizar otras infecciones.
Otro enfoque emprendido por los hackers detrás de la amenaza es el enmascaramiento de componentes de archivo — los hackers los harán aparecer como parte de un programa antivirus. Esto enmascarará el cargador y el virus real.
Las muestras analizadas indican que el malware se cargará a través de un mecanismo llamado Secuestro de orden de búsqueda de DLL — esto ocultará la presencia del código del virus y se iniciará silenciosamente en segundo plano. Ahora mismo el tarea principal es secuestrar datos confidenciales y luego colocarlo en un archivo de archivo RAR cifrado. Luego se copiará en el dispositivo de almacenamiento extraíble desde donde los piratas informáticos lo adquirirán. Se espera que las actualizaciones futuras permitan la transferencia de datos a través de la conexión de Troya..
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: