Los investigadores de seguridad cibernética han descubierto una muestra de PlugX que emplea métodos engañosos para infectar dispositivos de medios USB extraíbles adjuntos con el fin de propagar el malware a sistemas adicionales.
«Esta variante de PlugX es compatible con gusanos e infecta dispositivos USB de tal manera que se oculta del sistema de archivos operativo de Windows», dijeron Mike Harbison y Jen Miller-Osborn, investigadores de la Unidad 42 de Palo Alto Networks . «Un usuario no sabría que su dispositivo USB está infectado o posiblemente se usa para extraer datos de sus redes».
La compañía de ciberseguridad dijo que descubrió el artefacto durante un esfuerzo de respuesta a incidentes luego de un ataque de ransomware Black Basta contra una víctima no identificada. Entre otras herramientas descubiertas en el entorno comprometido se incluyen el cargador de malware Gootkit y el marco del equipo rojo Brute Ratel C4 .
Trend Micro destacó previamente el uso de Brute Ratel por parte del grupo Black Basta en octubre de 2022, con el software entregado como una carga útil de segunda etapa por medio de una campaña de phishing de Qakbot. Desde entonces, la cadena de ataque se ha utilizado contra un gran equipo de energía regional con sede en el sureste de los EE. UU., según Quadrant Security .
Sin embargo, no hay evidencia que vincule a PlugX, una puerta trasera ampliamente compartida entre varios grupos de estados-naciones chinos, o Gootkit con la pandilla de ransomware Black Basta, lo que sugiere que puede haber sido implementado por otros actores.
La variante USB de PlugX se destaca por el hecho de que usa un carácter Unicode particular llamado espacio de no interrupción ( U+00A0 ) para ocultar archivos en un dispositivo USB conectado a una estación de trabajo.
«El carácter de espacio en blanco evita que el sistema operativo Windows represente el nombre del directorio, ocultándolo en lugar de dejar una carpeta sin nombre en el Explorador», dijeron los investigadores, explicando la técnica novedosa.
En última instancia, se utiliza un archivo de acceso directo de Windows (.LNK) creado en la carpeta raíz de la unidad flash para ejecutar el malware desde el directorio oculto. La muestra de PlugX no solo tiene la tarea de implantar el malware en el host, sino también de copiarlo en cualquier dispositivo extraíble que pueda estar conectado camuflándolo dentro de una carpeta de papelera de reciclaje.
El archivo de acceso directo, por su parte, lleva el mismo nombre que el del dispositivo USB y aparece como un icono de unidad, con los archivos o directorios existentes en la raíz del dispositivo extraíble movidos a una carpeta oculta creada dentro de la carpeta «acceso directo». .
«Cada vez que se hace clic en el archivo de acceso directo del dispositivo USB infectado, el malware PlugX inicia el Explorador de Windows y pasa la ruta del directorio como parámetro», dijo Unit 42. «Esto luego muestra los archivos en el dispositivo USB desde dentro de los directorios ocultos y también infecta el host con el malware PlugX».
La técnica se basa en que el Explorador de archivos de Windows (anteriormente Explorador de Windows) por defecto no muestra elementos ocultos . Pero el giro inteligente aquí es que los archivos maliciosos dentro de la llamada papelera de reciclaje no se muestran cuando la configuración está habilitada.
Esto significa que los archivos falsos solo se pueden ver en un sistema operativo similar a Unix como Ubuntu o montando el dispositivo USB en una herramienta forense.
«Una vez que se descubre e infecta un dispositivo USB, todos los archivos nuevos escritos en la carpeta raíz del dispositivo USB después de la infección se mueven a la carpeta oculta dentro del dispositivo USB», dijeron los investigadores. «Dado que el archivo de acceso directo de Windows se parece al de un dispositivo USB y el malware muestra los archivos de la víctima, sin saberlo, continúan propagando el malware PlugX«.
Unit 42 dijo que también descubrió una segunda variante de PlugX que, además de infectar dispositivos USB, copia todos los archivos Adobe PDF y Microsoft Word del host a otra carpeta oculta en el dispositivo USB creada por el malware.
El uso de unidades USB como un medio para filtrar archivos específicos de interés de sus objetivos indica un intento por parte de los actores de amenazas de saltar sobre las redes abiertas .
Con el último desarrollo, PlugX se une a las filas de otras familias de malware como ANDROMEDA y Raspberry Robin que han agregado la capacidad de propagarse a través de unidades USB infectadas.
«El descubrimiento de estas muestras indica que el desarrollo de PlugX todavía está vivo y bien entre al menos algunos atacantes técnicamente capacitados, y sigue siendo una amenaza activa», concluyeron los investigadores.
Fuente: https://thehackernews.com