Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los investigadores descubren el proceso de infección del malware PlugX
7 de febrero de 2023 - Equipo de RRPP de TuxCare
Los investigadores de seguridad de la Unidad 42 de Palo Alto Networks investigaron una variante del malware PlugX que puede ocultar archivos maliciosos en dispositivos USB extraíbles y luego infectar los hosts Windows a los que se conectan. La operación responde a un ataque del ransomware Black Basta.
El malware emplea una "técnica novedosa" que le permite pasar desapercibido durante periodos de tiempo más prolongados y podría propagarse a sistemas protegidos. Se dice que la nueva variante de PlugX es "gusanizable", lo que significa que puede infectar dispositivos USB y ocultarse del sistema operativo de archivos de Windows.
El actor de la amenaza está utilizando la versión de 32 bits de una herramienta de depuración de Windows llamada 'x64dbg.exe' en ataques recientes, junto con una versión envenenada de 'x32bridge.dll', que carga la carga útil PlugX (x32bridge.dat).
"Este malware PlugX también oculta los archivos del atacante en un dispositivo USB con una técnica novedosa, que hace que los archivos maliciosos sólo sean visibles en un SO *nix o montando el dispositivo USB en una herramienta forense", reza un aviso de Unit 42 sobre la nueva amenaza. "Debido a esta capacidad para eludir la detección, el malware PlugX puede seguir propagándose y, potencialmente, saltar a redes protegidas por el aire".
Sin embargo, no hay pruebas que vinculen PlugX, un backdoor ampliamente utilizado por varios grupos de estados-nación chinos, o Gootkit con la banda de ransomware Black Basta, lo que implica que fue utilizado por otros actores. La variante USB de PlugX destaca por utilizar un carácter Unicode conocido como espacio de no ruptura (U+00A0) para ocultar archivos en un dispositivo USB conectado a una estación de trabajo.
Por último, se utiliza un archivo de acceso directo de Windows (.LNK) creado en la carpeta raíz de la unidad flash para ejecutar el malware desde el directorio oculto. La muestra PlugX se encarga no solo de instalar el malware en el host, sino también de copiarlo en cualquier dispositivo extraíble que pueda estar conectado a él, ocultándolo dentro de una carpeta de papelera de reciclaje.
La Unidad 42 también declaró que el equipo descubrió una variante de PlugX que puede infectar dispositivos USB y copiar todos los archivos Adobe PDF y Microsoft Word del host. Las copias se colocan en una carpeta oculta creada automáticamente en el dispositivo USB.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
