i ricercatori hanno identificato un ESET Infostealer Trojan che viene attivata tramite unità USB appositamente configurato per esso. Le informazioni ladro può scivolare software antivirus passato inosservato ed eseguito come un processo svchost legittima in Windows. Il minacce rilevazioni nomi dati da ESET sono Win32 / PSW.Stealer.NAI per il carico utile e Win32 / TrojanDropper.Agent.RFT per il caricatore. Il malware ha catturato l'interesse nel campo della sicurezza informatica, ed è stato dato il soprannome “ladro USB”.
Informazioni tecniche su Thief USB
Simile a altri malware informazioni copiatura, questo ha diverse fasi da cui opera metodologicamente, greatsoftline.com rapporto dei ricercatori.
→ Palcoscenico 1 Loader> Fase 2 Loader> Fase 3 Loader> Fase 4 Payload Dropper e rubare dati
Tutte le prime tre fasi sono principalmente orientate nella infezione successo del computer, e si prendono in considerazione le seguenti informazioni di sistema:
- È il carico utile eseguito dal USB?(Palcoscenico 1)
- Sarà l'utente apre il caricatore portatile infetto? (Palcoscenico 1)
- Sarà il file infetto che viene lanciato essere configurato in modo da verificare con successo?(Palcoscenico 2)
- Sarà il informazioni raccolte essere sufficiente ad evitare interruzioni di infezione e il processo di rubare dati? (Se si, il malware si arresta il processo di infezione)(Palcoscenico 2)
- E 'il software antvirus sulla vittima PC in esecuzione e lo fa avere protezione in tempo reale?(Palcoscenico 3).
La quarta fase È qui che i dati effettivi viene rubato. Il modulo di questa fase crea un nuovo svchost.exe processo nel seguente percorso:
→ %windir% system32
Il modulo è specificamente configurato per dare priorità automaticamente quali dati da furto prima e trasferito alla stessa unità. Per cominciare, ricercatori sottolineano che il malware ruba i dati completi HKCU struttura del Registro. In aggiunta a ciò, sembra per le immagini così come i documenti. Questo si crede di essere fatto tramite una applicazione gratuita chiamata "WinAudit". I file che sono stati copiati con successo all'unità sono criptati utilizzando CE (curva ellittica) cifra.
Come ci si proteggersi
Questo malware è progettato con molta attenzione. Ha i file eseguibili(moduli) così come i file di configurazione per questi eseguibili. Per evitare che gli ingegneri cyber-sicurezza dalla ricerca è, un potente algoritmo di crittografia AES-128 su questi moduli è stato utilizzato.
Non solo questo, ma i nomi dei suoi eseguibili siano del tutto casuali e per ogni campione di malware che viene rilevato, il ladro USB potrebbe avere nomi di file diversi. Questo meccanismo di crittografia dei file è molto familiare a CryptoWall 4.0 Ransomware che utilizza lo stesso metodo per i file crittografa, così simili o la stessa configurazione può essere stato usato qui.
In aggiunta a tali meccanismi di protezione, l'unità USB che trasportano i componenti del malware è configurato appositamente in modo che esso consente di eseguire questi moduli particolari solo da questa unità. Ciò significa che non è possibile eseguire il malware da altri luoghi dato che viene eseguito con successo solo attraverso la sua unità USB.
Dopo la decodifica con successo la AES-128 I moduli crittografati del malware, ricercatori GreatSoftLine hanno concluso che questo malware utilizza le sue fasi di cui sopra identificati di conseguenza, il che significa che Fase 1 gocce fase 2 dati e così via.
Conclusione
Le caratteristiche di questo malware non possono rendere molto diffusa. Ma per gli attaccanti che hanno come target specifico computer o un dispositivo in una rete locale(LAN) con l'obiettivo di rubare i suoi dati, questo tipo di attacchi sono molto efficaci. Per cominciare, molti utenti nella vostra azienda locale può essere l'occasione per un hacker per rubare i dati. Qui ci sono i rischi per la rete locale di computer che si dovrebbe pensare di quando la protezione della rete:
- Una persona all'interno sta applicando il “mani su” approccio.
- L'hack "drive caduto". - Un flash drive che sembra essere dimenticato o perso da qualcuno, ma è stato fatto apposta. Ciò è particolarmente efficace se l'unità perduta ha informazioni su di esso, come il logo della vostra azienda, per esempio.
- unità USB progettati per assomigliare altri dispositivi (Telefono, Connettore Wireless Mouse e altri)
La linea di fondo è che ci dovrebbe essere una vasta formazione di utenti all'interno di una rete e l'accesso ad alcuni elementi del computer dovrebbe essere limitato in una certa misura. Fare questo e Seguendo i suggerimenti di sicurezza consigliate con la combinazione di un potente software anti-malware è una buona ricetta per aumentare la protezione globale in modo significativo.
Ventsislav Krastev
Da allora Ventsislav è un esperto di sicurezza informatica di SensorsTechForum 2015. Ha fatto ricerche, copertura, aiutare le vittime con le ultime infezioni da malware oltre a testare e rivedere il software e gli ultimi sviluppi tecnologici. Avendo Marketing laureato pure, Ventsislav ha anche la passione per l'apprendimento di nuovi turni e innovazioni nella sicurezza informatica che diventano un punto di svolta. Dopo aver studiato la gestione della catena del valore, Amministrazione di rete e amministrazione di computer delle applicazioni di sistema, ha trovato la sua vera vocazione nel settore della cibersicurezza ed è un convinto sostenitore dell'educazione di ogni utente verso la sicurezza online.
Seguimi: