pesquisadores da ESET identificaram um Trojan Infostealer que é ativado via drive USB especialmente configurado para ele. A informação ladrão pode escorregar software antivírus passado despercebidos e executado como um processo svchost legítima no Windows. detecções nomes do de malware dadas pelo ESET são Win32 / PSW.Stealer.NAI para a carga e Win32 / TrojanDropper.Agent.RFT para o carregador. O malware tem interesse pego no campo de segurança cibernética, e foi dado o apelido “Ladrão USB”.
Informações técnica sobre Thief USB
Semelhante a outros malwares copiar informações, este tem várias etapas por que metodologicamente opera, greatsoftline.com pesquisadores relatam.
→ Palco 1 Loader> Stage 2 Loader> Stage 3 Loader> Stage 4 Payload conta-gotas e roubo de dados
Todas as três primeiras etapas são orientados principalmente para a infecção bem sucedida do computador, e eles levam em conta as seguintes informações do sistema:
- É a carga executado a partir do USB?(Palco 1)
- Será que o usuário abra o carregador portátil infectado? (Palco 1)
- Será que o arquivo infectado que é lançada ser configurado para ser verificado com sucesso?(Palco 2)
- Será que a informação recolhida ser suficiente para evitar interrupções da infecção eo processo de roubo de dados? (Se sim, o malware pára o processo de infecção)(Palco 2)
- É o software antvirus sobre a vítima PC correr e faz isso tem proteção em tempo real?(Palco 3).
A quarta etapa é onde os dados reais está a ser roubado. O módulo desta etapa cria uma nova svchost.exe processo no seguinte local:
→ %windir%system32
O módulo é configurada especificamente para dar prioridade automaticamente quais os dados a ser roubado primeiro e transferido para a mesma unidade. Para iniciantes, pesquisadores apontam que o malware rouba os dados completos árvore de registro HKCU. Além disso, ele procura por imagens, bem como documentos. Este é acreditado para ser feito através de um aplicativo gratuito chamado “WinAudit”. Os arquivos que foram copiados com êxito para a unidade são criptografados usando CE (elliptic Curve) cifra.
Como isso se proteger
Este malware é muito cuidadosamente projetado. Tem arquivos executáveis(módulos) bem como arquivos de configuração para os executáveis. Para evitar que os engenheiros de ciber-segurança de pesquisá-lo, um poderoso AES-128 algoritmo de encriptação em esses módulos foi usado.
Não apenas isso, mas os nomes de seus executáveis são completamente aleatórios e para cada amostra de malware detectada, o USB Thief pode ter nomes de arquivos diferentes. Esse mecanismo de criptografia de arquivos é muito familiar para CryptoWall 4.0 ransomware que usa o mesmo método para os arquivos que criptografa, tão semelhante ou a mesma configuração pode ter sido usada aqui.
Além desses mecanismos de proteção, a unidade USB que carrega os componentes de malware é configurada especialmente para permitir a execução desses módulos específicos somente a partir desta unidade. Isso significa que você não pode executar o malware de outros lugares, pois ele é executado com êxito apenas através da unidade USB.
Após descriptografar com êxito o AES-128 módulos criptografados do malware, pesquisadores da GreatSoftLine concluíram que esse malware usa seus estágios acima identificados, conseqüentemente, significando que Stage 1 cai Estágio 2 dados e assim por diante.
Conclusão
Os recursos desse malware podem não torná-lo muito difundido. Mas para invasores que têm como alvo um computador ou dispositivo específico em uma rede local(LAN) com o objetivo de roubar seus dados, esse tipo de ataque é muito eficaz. Para iniciantes, muitos usuários em sua empresa local podem ser a oportunidade para um hacker roubar os dados. Aqui estão os riscos para a sua rede local de computadores que você deve considerar ao proteger a rede:
- Uma pessoa interna está aplicando o “mãos em” abordagem.
- O hack "drive derrubado". - Uma unidade flash que parece ter sido esquecida ou perdida por alguém, mas foi feita de propósito. Isso é especialmente eficaz se a unidade perdida tiver informações sobre ela, como o logotipo da sua empresa, por exemplo.
- Drives USB projetados para se parecer com outros dispositivos (telefone, Conector de mouse sem fio e outros)
O ponto principal é que deve haver uma ampla educação dos usuários em uma rede e o acesso a certos elementos do computador deve ser limitado até certo ponto. Fazendo isso e seguindo as dicas de segurança recomendadas com a combinação de um poderoso software anti-malware é uma boa receita para aumentar significativamente a proteção geral.
Ventsislav Krastev
Ventsislav é especialista em segurança cibernética na SensorsTechForum desde 2015. Ele tem pesquisado, cobertura, ajudando vítimas com as mais recentes infecções por malware, além de testar e revisar software e os mais recentes desenvolvimentos tecnológicos. Formado marketing bem, Ventsislav também é apaixonado por aprender novas mudanças e inovações em segurança cibernética que se tornam revolucionárias. Depois de estudar o gerenciamento da cadeia de valor, Administração de rede e administração de computadores de aplicativos do sistema, ele encontrou sua verdadeira vocação no setor de segurança cibernética e acredita firmemente na educação de todos os usuários quanto à segurança e proteção on-line.
mais Posts - Local na rede Internet
Me siga: