Accueil > Nouvelles Cyber > Le nouveau cheval de Troie USB Thief a désormais la capacité de s'autoprotéger
CYBER NOUVELLES

New Thief USB Trojan Maintenant a la capacité d'auto-Protect

stfu-usb-voleurles chercheurs d'ESET ont identifié un cheval de Troie Infostealer qui est activé par l'intermédiaire d'une clé USB spécialement configuré pour elle. L'information voleur peut glisser un logiciel antivirus passé inaperçu et fonctionner comme un processus svchost légitime dans Windows. détections Les noms des logiciels malveillants donnés par ESET sont Win32 / PSW.Stealer.NAI pour la charge utile et Win32 / TrojanDropper.Agent.RFT pour le chargeur. Le malware a pris un intérêt dans le domaine de la cyber-sécurité, et il a été donné le surnom “USB Thief”.

Informations techniques sur USB Thief

Semblable à d'autres logiciels malveillants informations de copie, celui-ci a plusieurs étapes par lesquelles elle exerce ses activités méthodologiquement, greatsoftline.com chercheurs rapportent.

→ Étape 1 Loader> Etape 2 Loader> Etape 3 Loader> Etape 4 Payload Dropper et données Stealing

Toutes les trois premières étapes sont principalement orientées dans l'infection réussie de l'ordinateur, et ils prennent en considération les informations du système suivant:

  • Est-ce que la charge utile exécutée à partir de l'USB?(Étape 1)
  • Est-ce que l'utilisateur ouvre le chargeur portable infecté? (Étape 1)
  • Est-ce que le fichier infecté qui est lancé être configuré pour être vérifiée avec succès?(Étape 2)
  • Est-ce que l'information recueillie soit suffisante pour empêcher des interruptions de l'infection et le processus de vol de données? (Si oui, le le malware arrête le processus d'infection)(Étape 2)
  • Est-ce le logiciel AntVirus sur la victime PC en cours d'exécution et at-il une protection en temps réel?(Étape 3).

La quatrième étape est où les données réelles est volé. Le module de cette étape crée une nouvelle svchost.exe processus à l'emplacement suivant:

→ %windir% system32

Le module est spécialement configuré pour hiérarchiser automatiquement les données à être volés premier et transféré à la même route. Pour commencer, les chercheurs soulignent que le malware vole les données complètes de l'arbre de Registre HKCU. En plus de cela, il recherche d'images ainsi que des documents. Cela semble être fait par l'intermédiaire d'une application gratuite appelée "WinAudit". Les fichiers qui ont été copiés avec succès sur le disque sont cryptées en utilisant CE (Elliptic Curve) zéro.

Comment ça Protect elle-même

Ce malware est très soigneusement conçu. Il a des fichiers exécutables(modules) ainsi que les fichiers de configuration pour les exécutables. Pour éviter les ingénieurs cyber-sécurité à partir des recherches sur ce, un algorithme de chiffrement AES-128 puissant sur ces modules a été utilisé.

Non seulement cela, mais les noms de ses exécutables sont complètement aléatoires et pour chaque échantillon malware qui est détecté, le voleur USB peut avoir des noms de fichiers différents. Ce mécanisme de chiffrement de fichier est très familier CryptoWall 4.0 Ransomware qui utilise la même méthode pour les fichiers qu'il crypte, de manière similaire ou la même configuration peut avoir été utilisé ici.

En plus de ces mécanismes de protection, la clé USB portant les composants logiciels malveillants est spécialement configuré de telle sorte qu'il permet d'exécuter ces modules particuliers qu'à partir de ce lecteur. Ceci veut dire cela vous ne pouvez pas exécuter le logiciel malveillant à partir d'autres endroits, car il est exécuté avec succès que par l'intermédiaire de sa clé USB.

Après avoir décryptant avec succès le AES-128 modules chiffrés du malware, des chercheurs de GreatSoftLine ont conclu que ce malware utilise ses étapes identifiées ci-dessus, par conséquent, ce qui signifie que l'étape 1 gouttes étape 2 données, etc..

Conclusion

Les caractéristiques de ce malware ne peuvent pas faire très répandue. Mais pour les attaquants qui ciblent ordinateur spécifique ou un dispositif dans un réseau local(LAN) avec un objectif de voler ses données, ce type d'attaques sont très efficaces. Pour commencer, de nombreux utilisateurs dans votre entreprise locale peut être la possibilité pour un pirate de voler les données. Voici les risques pour votre réseau local d'ordinateurs que vous devez penser lors de la protection du réseau:

  • Une personne à l'intérieur applique la “pratique” approche.
  • Le "drive abandonné" bidouille. - Un lecteur flash qui semble être oublié ou perdu par quelqu'un, mais il a été fait exprès. Cela est particulièrement efficace si le lecteur a perdu des informations sur elle, comme le logo de votre entreprise, par exemple.
  • lecteurs USB conçus pour ressembler à d'autres appareils (Téléphone, Sans fil Connecteur de souris et d'autres)

L'essentiel est qu'il devrait y avoir une formation approfondie des utilisateurs au sein d'un réseau et l'accès à certains éléments de l'ordinateur doit être limitée dans une certaine mesure. Faire cela et suivant les conseils de sécurité recommandées avec la combinaison d'un puissant logiciel anti-malware est une bonne recette pour augmenter de manière significative la protection globale.

Ventsislav Krastev

Ventsislav est expert en cybersécurité chez SensorsTechForum depuis 2015. Il a fait des recherches, couvrant, aider les victimes avec les dernières infections de logiciels malveillants ainsi que tester et examiner les logiciels et les derniers développements technologiques. Ayant obtenu leur diplôme et marketing, Ventsislav est également passionné par l'apprentissage de nouveaux changements et innovations en cybersécurité qui changent la donne. Après avoir étudié la gestion de la chaîne de valeur, Administration réseau et administration informatique des applications système, il a trouvé sa véritable vocation au sein de l'industrie de la cybersécurité et croit fermement à l'éducation de chaque utilisateur en matière de sécurité et de sûreté en ligne..

Plus de messages - Site Internet

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord