Um grupo de hackers desconhecido está por trás de uma nova ameaça perigosa chamada malware USBCulprit. Ele foi projetado para se infiltrar silenciosamente em sistemas seguros lacuna de ar — isso significa que eles não serão conectados à rede externa. Vários países no momento estão sendo direcionados, localizado principalmente na Ásia.
Computadores com falta de ar espionados pelo avançado malware USBCulprit
Um grupo ou indivíduo de hackers desconhecido criou uma nova ameaça perigosa identificada por muitos especialistas em segurança como a Malware USBCulprit. Em comparação com outros vírus de uso geral, este foi projetado para invadir os chamados vírus dispositivos de computador com falta de ar. Geralmente, essas são infraestruturas críticas, servidores e outros equipamentos de computação de alto perfil deliberadamente isolados de outros equipamentos de rede.
Existem vários nomes que estão sendo usados para se referir ao hacker e / ou ao próprio malware: Panda Goblin, Cycldek e Conimes, Graças às amostras analisadas, podemos verificar que um amplo conjunto de recursos foi integrado. Existem várias categorias usadas para descrever as ações individuais que podem ser realizadas pelo malware:
- Interação de arquivos — Isso inclui todas as ações relacionadas à manipulação de dados de qualquer tipo: criação de arquivos e modificação e remoção de arquivos existentes. Isso também se estende aos diretórios.
- Roubo de dados — Os hackers podem usar o malware USBCulprit para roubar arquivos dos discos rígidos conectados localmente, dispositivos de armazenamento removíveis e compartilhamentos de rede quando disponíveis.
- Tarefas relacionadas à segurança — Esta categoria inclui os principais métodos usados para ajudar o vírus a se infiltrar nos sistemas de destino.
No momento, a estratégia exata de infecção usada pelos hackers por trás da ameaça ainda não é conhecida.. Os pesquisadores acreditam que o O mecanismo principal depende de mídia removível USB. Isso significa que uma unidade flash USB infectada ou unidade externa deve ser levada a uma rede que possa alcançar o computador com folga de ar alvo.
Mais informações sobre o malware USBCulprit
As infecções que levam à implantação do malware USBCulprit são causadas por dispositivos removíveis infectados ou por atividades anteriores de vírus. Os hackers estão usando uma ameaça chamada NewCore como o principal mecanismo de entrega de carga útil. Ele é dividido em duas versões - BlueCore e RedCore. Eles incluem funcionalidade do keylogger projetado para gravar as teclas digitadas e a entrada de movimento do mouse pelos usuários. Outra funcionalidade importante é a integração de um Função de roubo de RDP — ele detectará se algum software de login da área de trabalho remota está instalado pelos administradores do computador e roubará as credenciais. Isso permitirá que os hackers assumam o controle dos hosts por meio de um aplicativo legítimo. Do ponto de vista do administrador da rede, isso será sinalizado como uma tentativa de login comum e não gerará nenhum alarme de que um invasor tenha acesso à rede..
Essas duas ferramentas também incluem a função de entregar o malware USBCulprit como parte de sua sequência de comportamento. Um dos comandos associados a essa ameaça é o coleção de documentos que será exportado para o dispositivo de armazenamento removível conectado. Os hackers estão se concentrando em uma estratégia de movimento lateral o que significa que eles contarão com a unidade USB infectada para realizar outras infecções.
Outra abordagem adotada pelos hackers por trás da ameaça é a mascaramento de componentes de arquivo — os hackers farão com que apareçam porque fazem parte de um programa antivírus. Isso irá mascarar o carregador e o vírus real.
As amostras analisadas indicam que o malware será carregado por meio de um mecanismo chamado Seqüestro de ordem de pesquisa de DLL — isso ocultará a presença do código do vírus e será iniciado silenciosamente em segundo plano. Agora o tarefa principal é seqüestrar dados confidenciais e depois coloque-o arquivo RAR criptografado. Ele será copiado para o dispositivo de armazenamento removível de onde será adquirido pelos hackers. Espera-se que futuras atualizações permitam que os dados sejam transferidos através da conexão Trojan.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: