ESET onderzoekers hebben een Infostealer Trojaans paard dat wordt geactiveerd via USB-schijf, speciaal geconfigureerd voor deze geïdentificeerd. De info stealer kan verleden antivirussoftware slip onopgemerkt en wordt gerund als een legitieme svchost proces in Windows. De malware is detecties namen gegeven door ESET zijn Win32 / PSW.Stealer.NAI voor de nuttige lading en Win32 / TrojanDropper.Agent.RFT voor de lader. De malware heeft interesse in het gebied van veiligheid cyber gevangen, en het is de bijnaam “USB Thief”.
Technische Informatie over USB Thief
Net als bij andere informatie kopiëren van malware, deze heeft een aantal etappes voor het methodologisch opereert, greatsoftline.com onderzoekers verslag.
→ Stadium 1 Loader> Stage 2 Loader> Stage 3 Loader> Stage 4 Payload Dropper en gegevens stelen
Alle eerste drie zijn voornamelijk gericht op de succesvolle infectie van de computer, en zij rekening houden met de volgende systeeminformatie:
- Is de lading uitgevoerd vanuit de USB?(Stadium 1)
- Zal de gebruiker de draagbare besmette loader te openen? (Stadium 1)
- Zal het geïnfecteerde bestand dat wordt gelanceerd worden geconfigureerd om met succes worden geverifieerd?(Stadium 2)
- Zal de verzamelde informatie voldoende zijn om onderbrekingen van de infectie en de data te stelen proces te voorkomen? (Zo ja, het de malware stopt het infectieproces)(Stadium 2)
- Is de antvirus software op het slachtoffer PC lopen en heeft het real-time bescherming?(Stadium 3).
De vierde etappe is waar de feitelijke gegevens worden gestolen. De module van deze fase wordt een nieuw svchost.exe proces in de volgende locatie:
→ %windir% system32
De module is speciaal geconfigureerd om automatisch prioriteit welke gegevens eerst worden gestolen en overgebracht naar dezelfde schijf. Voor starters, onderzoekers wijzen dat de malware steelt de volledige HKCU registry boom data. Trouwens, het ziet er voor afbeeldingen en documenten. Aangenomen wordt dat dit moet gebeuren via een gratis applicatie genaamd "WinAudit". De bestanden die met succes zijn gekopieerd naar het station worden versleuteld met behulp van EC (Elliptic Curve) cijferen.
Hoe werkt het zich te beschermen
Deze malware is zeer zorgvuldig ontworpen. Het heeft uitvoerbare bestanden(modules) alsmede configuratiebestanden voor die uitvoerbare. Om te voorkomen dat cyber-security ingenieurs uit het onderzoek dat, een krachtige AES-128 encryptie algoritme die modules heeft aangewend.
Niet alleen dit, maar de namen van de uitvoerbare bestanden zijn volledig willekeurig en voor elke malware monster dat wordt gedetecteerd, de USB Thief kunnen verschillende bestandsnamen. Dit bestand encryptie mechanisme is zeer vertrouwd aan CryptoWall 4.0 Ransomware die gebruikt dezelfde methode voor de bestanden versleutelt, zodat soortgelijke of dezelfde configuratie kan hier gebruikt.
Naast deze beschermingsmechanismen, de USB-stick die de malware componenten is speciaal geconfigureerd dat het u toestaat om deze specifieke modules loopt vanaf dit station. Dit betekent dat kunt u de malware niet uitvoeren van andere plaatsen, omdat het succes alleen via de USB-drive wordt uitgevoerd.
Na het succesvol decoderen van de AES-128 gecodeerde modules van de malware, onderzoekers uit GreatSoftLine hebben geconcludeerd dat deze malware maakt gebruik van haar reeds geïdentificeerde stadia bijgevolg, wat betekent dat Stage 1 De dalingen van Stage 2 data etc..
Conclusie
De kenmerken van deze malware kan het niet erg wijdverspreid maken. Maar voor aanvallers die specifieke computer of een apparaat in een Local Area Network te targeten(LAN) met een doel om de gegevens te stelen, dergelijke aanvallen zijn zeer effectief. Voor starters, veel gebruikers in uw lokale onderneming kan de mogelijkheid voor een hacker om de gegevens te stelen. Hier zijn de risico's voor uw lokale netwerk van computers die u moet denken bij het beschermen van het netwerk:
- Een inside persoon is de toepassing van de “hands-on” nadering.
- De "liet drive" hack. - Een flash drive die lijkt te zijn vergeten of verloren door iemand, maar het werd gedaan op doel. Dit is vooral effectief als de verloren aandrijving heeft informatie op, net als het logo van uw bedrijf, bijvoorbeeld.
- USB-drives zijn ontworpen om te kijken als andere apparaten (Telefoon, Wireless Mouse Connector en anderen)
De bottom line is dat er een uitgebreide opleiding van gebruikers binnen een netwerk en de toegang tot bepaalde onderdelen van de computer moet worden beperkt moet blijven tot op zekere hoogte. Om dat te doen en naar aanleiding van de aanbevolen beveiligingstips met de combinatie van een krachtige anti-malware software is een goed recept voor een aanzienlijke toename van de algemene bescherming.
Ventsislav Krastev
Ventsislav is sindsdien een cybersecurity-expert bij SensorsTechForum 2015. Hij heeft onderzoek gedaan, aan het bedekken, slachtoffers helpen met de nieuwste malware-infecties plus het testen en beoordelen van software en de nieuwste technische ontwikkelingen. Na afgestudeerd Marketing, alsmede, Ventsislav heeft ook een passie voor het leren van nieuwe verschuivingen en innovaties in cybersecurity die gamechangers worden. Na het bestuderen van Value Chain Management, Netwerkbeheer en computerbeheer van systeemtoepassingen, hij vond zijn ware roeping binnen de cyberbeveiligingsindustrie en gelooft sterk in het opleiden van elke gebruiker in de richting van online veiligheid en beveiliging.
Volg mij: