Исследователи Sophos обнаружили новую версию USB-червя PlugX. По данным компании, оригинальными аспектами этой вариации вредоноса является новый тип полезной нагрузки и обратная связь с C2-сервером.
PlugX — это известная разновидность вредоносного ПО, которое может распространяться через USB-накопители, поясняет Securitylab. PlugX способен собирать системную информацию, обходить антивирусы и брандмауэры, управлять файлами пользователя, выполнять вредоносный код и даже давать злоумышленникам удалённый доступ над заражённым компьютером.
В настоящее время вредонос «как горячие пирожки» расходится в африканских странах. Заражения наблюдаются в Гане, Зимбабве и Нигерии. Специалисты также зафиксировали новый вариант PlugX в Папуа-Новой Гвинее и Монголии. Sophos считает, что эта кампания связана с китайской группировкой Mustang Panda, которая, как известно, уже использовала это вредоносное ПО в прошлом .
Итак, когда пользователь вставляет USB-накопитель с вредоносом в компьютер, первым делом он обнаруживает в корне флешки ярлык, замаскированный под сам накопитель. У опытных пользователей наверняка появятся сомнения перед запуском такого файла. Но, как известно, свою целевую аудиторию злоумышленники всегда найдут.
Папка «RECYCLER.BIN» намеренно названа злоумышленниками таким образом. Путём некоторых манипуляций хакерам удаётся связать реальную корзину Windows с папкой на накопителе. Поэтому если зайти в эту папку через обычный проводник Windows, там отобразятся файлы, удалённые в корзину с компьютера пользователя, ничего лишнего. Но вот если открыть этот каталог через, например, Total Commander, можно увидеть следующие подкаталоги и файлы.
«Что касается использования USB-червей в 2023 году, они, безусловно, были более распространены 10-20 лет назад, когда злоумышленники могли скомпрометировать Пентагон, просто обронив флэш-накопитель с вредоносной программой в нужном месте. Сейчас мы не считаем съёмные носители достаточно эффективным средством заражения, особенно по сравнению с интернет-атаками, но конкретно в этой кампании этот метод распространения оказался весьма эффективным», — заявил Габор Саппанос, директор по исследованию угроз в компании Sophos.