L’équipe de l’unité 42 de Palo Alto Networks a découvert une série d’outils et d’échantillons de logiciels malveillants lors d’une récente brèche de Black Basta, un train particulièrement méchant attirant une attention particulière.
La campagne utilise des logiciels malveillants PlugX vieux de plusieurs années pour infecter les lecteurs USB amovibles, ce qui peut affecter n’importe quel hôte Windows auquel ils sont connectés.
Apparemment existant depuis plus d’une décennie, la campagne a été initialement attribuée à des groupes de hackers chinois, mais elle a soutenu un « ensemble évolutif de capacités au fil des ans », ce qui rend très difficile l’attribution des menaces à un groupe ou à un individu donné.
Logiciel malveillant PlugX USB
Dans cette dernière itération, les chercheurs ont découvert qu’il pouvait passer presque inaperçu même sur la dernière version de Windows, au point que les fichiers malveillants « ne peuvent être visualisés que sur un système d’exploitation de type Unix ou en montant le périphérique USB dans un outil médico-légal ».
Il masque les fichiers en utilisant un certain caractère Unicode, empêchant l’Explorateur Windows et le shell de commande d’afficher aux utilisateurs la structure des répertoires USB, masquant ainsi les fichiers qu’il a copiés depuis son hôte. Il a été constaté qu’il cible principalement les fichiers Adobe PDF et Microsoft Word.
Le rapport détaille que le logiciel malveillant surveille en permanence les nouveaux périphériques USB amovibles et que les victimes continuent sans le savoir de propager le logiciel malveillant PlugX grâce à sa « nouvelle » supercherie.
Tous les détails des résultats et le processus que le logiciel malveillant est censé suivre sont disponibles sur Palo Alto Networks. site Internet (s’ouvre dans un nouvel onglet). Il promet également d’avoir partagé ses conclusions avec les autres membres de la Cyber Threat Alliance (CTA), qui comprend Avast, McAfee et Sophos.
Ses propres produits sont conçus pour protéger les utilisateurs contre de telles attaques, mais il les exhorte à entrer en contact s’ils pensent avoir été infectés. De plus, les utilisateurs d’ordinateurs sont invités à adopter une approche prudente face aux sites Web, e-mails et autres activités suspects qui pourraient être à l’origine de toute cyberattaque.