Il malware cinese destinato a infettare le unità USB infetta accidentalmente anche l’archiviazione di rete • The Register

Il malware destinato a diffondersi su unità USB infetta inavvertitamente i dispositivi di archiviazione collegati alla rete, secondo il fornitore Infosec Checkpoint.

Il cattivo software proviene da un gruppo chiamato Camaro Dragon che i ricercatori di Checkpoint hanno fatto giovedì Proposta Lancia campagne simili a mob su Chinese Mustang Panda e Luminous Moth.

Checkpoint considera la Camaro Dragon la più interessata agli obiettivi asiatici: il suo codice include funzionalità progettate per nasconderle da SmadAV, una popolare soluzione antivirus nella regione.

Tuttavia, la compagnia ha individuato per la prima volta le attività della banda in Europa!

“L’infezione da malware del paziente zero è stata identificata come un dipendente che ha partecipato a una conferenza in Asia”, hanno scritto i ricercatori di Checkpoint. Ha condiviso la sua presentazione con gli altri partecipanti utilizzando la sua unità USB. Sfortunatamente, uno dei suoi compagni di classe aveva un computer infetto, quindi la sua unità USB è stata inavvertitamente infettata di conseguenza.

“Al ritorno a casa in ospedale in Europa, il dipendente ha inserito l’unità USB infetta nei sistemi informatici dell’ospedale, diffondendo l’infezione”.

Il checkpoint ritiene che la catena di infezione inizi quando la vittima avvia un programma di avvio Delphi dannoso sull’unità flash USB infetta. In questo modo si attiva una backdoor che carica malware su altre unità mentre sono connesse alla macchina infetta.

Questo è negativo, ma può anche essere contenuto utilizzando varie tecnologie che limitano i dispositivi USB.

Il malware rappresenta un rischio maggiore per l’IT aziendale, perché i dispositivi infetti installano malware su qualsiasi unità di rete appena connessa, ma non su unità già connesse a un dispositivo al momento dell’infezione.

Il checkpoint ritiene che la propagazione alle unità di rete appena connesse non sia intenzionale.

“Sebbene le unità di rete infettate in questo modo possano teoricamente essere utilizzate come mezzo di movimento laterale all’interno della stessa rete, questo comportamento sembra più un difetto che una caratteristica prevista”, scrivono i ricercatori. “Manipolare molti file e sostituirli con un file eseguibile con l’icona di un’unità flash USB sulle unità di rete è un’attività ovvia che può attirare ulteriore attenzione sfavorevole”.

E sappiamo tutti che le bande di criminali informatici cercano di mantenere un profilo basso il più a lungo possibile in modo che il loro codice malvagio possa svolgere il suo lavoro malvagio.

Se questo codice viene eseguito, installa una backdoor e tenta di estrarre i dati. Ciò rende piuttosto pericolosa l’infezione apparentemente accidentale dell’archiviazione di rete, in molte istituzioni in cui è archiviata la roba buona.

Un’altra brutta caratteristica di questo malware è che “carica anche DLL con componenti software di sicurezza, come G-DATA Total Security e due importanti società di giochi (Electronic Arts e Riot Games)”. Checkpoint ha informato gli sviluppatori del gioco del loro inconsapevole ruolo nei piani per la Camaro Dragon.

Checkpoint scrive di aver visto il simbolo portato dalla USB in Myanmar, Corea del Sud, Gran Bretagna, India e Russia.

“La prevalenza e la natura degli attacchi che utilizzano malware USB autopropaganti dimostrano la necessità di proteggersi da questi, anche per le organizzazioni che potrebbero non essere obiettivi diretti di tali campagne”, consiglia la società. ®