Malware PlugX filtrado en dispositivos USB para infectar nuevos hosts de Windows

Iniciado por Dragora, Enero 28, 2023, 12:32:11 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Los investigadores de seguridad han analizado una variante del malware PlugX que puede ocultar archivos maliciosos en dispositivos USB extraíbles y luego infectar los hosts de Windows a los que se conectan.

El malware utiliza lo que los investigadores llaman "una técnica novedosa" que le permite pasar desapercibido durante períodos más largos y podría propagarse potencialmente a sistemas con brechas de aire.

El equipo de la Unidad 42 de Palo Alto Network encontró una muestra de esta variante de PlugX durante una respuesta a un ataque de ransomware Black Basta que se basó en GootLoader y Brute Ratel .  para los compromisos del equipo rojo.

Buscando muestras similares, Unit 42 también descubrió una variante de PlugX en Virus Total que localiza documentos confidenciales en el sistema comprometido y los copia en una carpeta oculta en la unidad USB.

Ocultar PlugX en unidades USB

PlugX es una pieza antigua de malware que se ha utilizado desde al menos 2008, inicialmente solo por grupos de piratas informáticos chinos; algunos de ellos continúan usándolo  con software firmado digitalmente para  descargar cargas útiles cifradas.

Con el tiempo, sin embargo, se generalizó tanto que múltiples actores adoptaron lo adoptaron en los ataques, lo que hizo que la atribución de su uso fuera una tarea muy desafiante.

En los ataques recientes que observó la Unidad 42, el actor de amenazas está utilizando la versión de 32 bits de una herramienta de depuración de Windows llamada 'x64dbg.exe' junto con una versión envenenada de 'x32bridge.dll', que carga la carga útil de PlugX (x32bridge. dat).


Diagrama de la cadena de infección (Unidad 42)

Al momento de escribir este artículo, la mayoría de los motores antivirus en la plataforma de análisis Virus Total no marcan el archivo como malicioso, la tasa de detección es de solo 9 de 61 productos.


Resultados del análisis VirusTotal (BleepingComputer.com)

Las muestras más recientes del malware PlugX son detectadas por incluso menos motores antivirus en Virus Total. Uno de ellos, añadido en agosto del año pasado, actualmente está marcado como una amenaza por solo tres productos en la plataforma. Obviamente, los agentes de seguridad en vivo se basan en múltiples tecnologías de detección que buscan actividad maliciosa generada por un archivo en el sistema.

Los investigadores explican que la versión de PlugX que encontraron utiliza un carácter Unicode para crear un nuevo directorio en las unidades USB detectadas, lo que las hace invisibles en el Explorador de Windows y en el shell de comandos. Estos directorios son visibles en Linux pero ocultos en los sistemas Windows.

"Para lograr la ejecución del código del malware desde el directorio oculto, se crea un archivo de acceso directo de Windows (.lnk) en la carpeta raíz del dispositivo USB", dice Unit 42.

"La ruta de acceso directo al malware contiene el carácter de espacio en blanco Unicode, que es un espacio que no causa un salto de línea pero no es visible cuando se ve a través del Explorador de Windows" - Unidad 42 de Palo Alto Networks

El malware crea un archivo 'desktop.ini' en el directorio oculto para especificar el ícono del archivo LNK en la carpeta raíz, haciéndolo aparecer como una unidad USB para engañar a la víctima. Mientras tanto, un subdirectorio 'RECYCLER.BIN' actúa como un disfraz, alojando copias del malware en el dispositivo USB.


Propiedades del archivo de acceso directo (Unidad 42)

Esta técnica se ha visto en una versión anterior de PlugX analizada por investigadores de Sophos  a fines de 2020, aunque el enfoque del informe estaba en la carga lateral de DLL como un medio para ejecutar código malicioso.

La víctima hace clic en el archivo de acceso directo en la carpeta raíz del dispositivo USB, que ejecuta x32.exe a través de cmd.exe, lo que resulta en la infección del host con el malware PlugX.

Simultáneamente, se abrirá una nueva ventana del Explorador para mostrar los archivos del usuario en el dispositivo USB, haciendo que todo parezca normal.

Después de que PlugX ingresa al dispositivo, monitorea continuamente los nuevos dispositivos USB e intenta infectarlos al descubrirlos.


Comparación entre unidades USB limpias e infectadas (Unidad 42)

Durante su investigación, el equipo de Unit 42 también descubrió una variante de robo de documentos del malware PlugX que también se dirige a las unidades USB, pero tiene la capacidad adicional de copiar documentos PDF y Microsoft Word en una carpeta en el directorio oculto llamado  da520e5 .

Se desconoce cómo los actores de amenazas recuperan estos archivos "exfiltrados localmente" de la unidad USB, pero el acceso físico podría ser una de las formas.

Si bien PlugX generalmente se asoció con actores de amenazas respaldados por el estado, el malware se puede comprar en mercados clandestinos y los ciberdelincuentes también lo han utilizado.

Con el nuevo desarrollo que lo hace más difícil de detectar y permite que se propague a través de unidades extraíbles, los investigadores de la Unidad 42 dicen que PlugX tiene el potencial de saltar a las redes con espacio de aire.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta