Support technique
Documentation
Connexion
Nous contacter
Les chercheurs découvrent le processus d'infection du malware PlugX
Obanla Opeyemi
Le 7 février 2023 - L'équipe d'experts de TuxCare
Les chercheurs en sécurité de l'unité 42 de Palo Alto Networks ont enquêté sur une variante du malware PlugX qui peut cacher des fichiers malveillants sur des périphériques USB amovibles et infecter ensuite les hôtes Windows auxquels ils se connectent. L'opération fait suite à une compromission du ransomware Black Basta.
Le logiciel malveillant utilise une "nouvelle technique" qui lui permet de passer inaperçu pendant de plus longues périodes et pourrait potentiellement se propager aux systèmes à air comprimé. La nouvelle variante de PlugX est dite "vermifiable", ce qui signifie qu'elle peut infecter des périphériques USB et se dissimuler dans le système d'exploitation des fichiers de Windows.
L'acteur de la menace utilise la version 32 bits d'un outil de débogage Windows appelé "x64dbg.exe" dans les attaques récentes, ainsi qu'une version empoisonnée de "x32bridge.dll", qui charge la charge utile PlugX (x32bridge.dat).
"Ce logiciel malveillant PlugX cache également les fichiers de l'attaquant dans un périphérique USB grâce à une nouvelle technique, qui rend les fichiers malveillants uniquement visibles sur un système d'exploitation *nix ou en montant le périphérique USB dans un outil d'analyse judiciaire", indique un avis de l'Unité 42 sur cette nouvelle menace. "En raison de cette capacité à échapper à la détection, le logiciel malveillant PlugX peut continuer à se propager et, potentiellement, à sauter sur des réseaux à couverture aérienne."
Cependant, il n'existe aucune preuve reliant PlugX, une porte dérobée largement utilisée par plusieurs groupes de l'État-nation chinois, ou Gootkit au gang de ransomware Black Basta, ce qui implique qu'ils ont été utilisés par d'autres acteurs. La variante USB de PlugX se distingue par l'utilisation d'un caractère Unicode appelé espace insécable (U+00A0) pour cacher des fichiers dans un périphérique USB branché sur un poste de travail.
Enfin, un fichier de raccourci Windows (.LNK) créé dans le dossier racine du lecteur flash est utilisé pour exécuter le malware à partir du répertoire caché. L'échantillon de PlugX est chargé non seulement d'installer le malware sur l'hôte, mais aussi de le copier sur tout périphérique amovible qui pourrait y être connecté en le cachant dans un dossier de la corbeille.
L'unité 42 a également déclaré que l'équipe a découvert une variante de PlugX qui peut infecter les périphériques USB et copier tous les fichiers Adobe PDF et Microsoft Word de l'hôte. Les copies sont ensuite placées dans un dossier caché, créé automatiquement, sur le périphérique USB.
Les sources de cet article comprennent un article de TheHackerNews.
