Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Forscher decken Infektionsprozess der PlugX-Malware auf
7. Februar 2023. TuxCare PR Team
Sicherheitsforscher von Palo Alto Networks Unit 42 untersuchten eine PlugX-Malware-Variante, die bösartige Dateien auf USB-Wechseldatenträgern verstecken und dann die Windows-Hosts infizieren kann, mit denen sie verbunden sind. Die Operation ist eine Reaktion auf die Kompromittierung der Black-Basta-Ransomware.
Die Malware verwendet eine "neuartige Technik", die es ihr ermöglicht, über einen längeren Zeitraum unentdeckt zu bleiben, und könnte sich möglicherweise auf abgehörte Systeme ausbreiten. Die neue PlugX-Variante soll "wurmfähig" sein, d. h. sie kann USB-Geräte infizieren und sich vor dem Windows Operating File System verstecken.
Der Bedrohungsakteur verwendet bei seinen jüngsten Angriffen die 32-Bit-Version eines Windows-Debugging-Tools namens "x64dbg.exe" zusammen mit einer vergifteten Version von "x32bridge.dll", die die PlugX-Nutzlast (x32bridge.dat) lädt.
"Diese PlugX-Malware versteckt auch Angreiferdateien in einem USB-Gerät mit einer neuartigen Technik, die die bösartigen Dateien nur auf einem *nix-Betriebssystem oder durch Einbinden des USB-Geräts in ein forensisches Tool sichtbar macht", heißt es in einer Mitteilung von Unit 42 über die neue Bedrohung. "Aufgrund dieser Fähigkeit, sich der Erkennung zu entziehen, kann sich die PlugX-Malware weiter ausbreiten und potenziell auf abgehörte Netzwerke übergreifen.
Es gibt jedoch keine Beweise dafür, dass PlugX, eine von mehreren chinesischen staatlichen Gruppen verwendete Backdoor, oder Gootkit mit der Black-Basta-Ransomware-Bande in Verbindung stehen, was darauf hindeutet, dass sie von anderen Akteuren verwendet wurden. Die USB-Variante von PlugX zeichnet sich dadurch aus, dass sie ein Unicode-Zeichen verwendet, das als "non-breaking space" (U+00A0) bekannt ist, um Dateien in einem USB-Gerät zu verstecken, das an eine Workstation angeschlossen ist.
Schließlich wird eine Windows-Verknüpfungsdatei (.LNK) im Stammverzeichnis des Flash-Laufwerks erstellt, um die Malware aus dem versteckten Verzeichnis auszuführen. Das PlugX-Beispiel hat nicht nur die Aufgabe, die Malware auf dem Host zu installieren, sondern sie auch auf alle angeschlossenen Wechseldatenträger zu kopieren, indem es sie in einem Papierkorbordner versteckt.
Unit 42 erklärte außerdem, dass das Team eine PlugX-Variante entdeckt hat, die USB-Geräte infizieren und alle Adobe PDF- und Microsoft Word-Dateien vom Host kopieren kann. Die Kopien werden dann in einem automatisch erstellten, versteckten Ordner auf dem USB-Gerät abgelegt.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.
