L'arnaque d'une clé USB contenant un malware, que l'on croyait obsolète depuis longtemps, a en fait été à nouveau sortie de la boîte du cybercrime. Une nouvelle variante du célèbre ver PlugX est apparue au Nigeria, au Ghana, au Zimbabwe et en Mongolie et continue de migrer.
À 16.000 2022 milles de distance se trouvent les épidémies actuelles d'une nouvelle espèce de ver USB PlugX : après sa première apparition en Papouasie-Nouvelle-Guinée en août XNUMX, des infections ont fait leur apparition au Ghana, en Mongolie, au Zimbabwe et au Nigeria.
Voici comment fonctionne la nouvelle version du ver
La nouvelle version, détectée par Sophos X-Ops, se propage via des clés USB et utilise un fichier exécutable légitime, qu'elle injecte sur le réseau cible. Il se cache alors dans un faux répertoire nommé "RECYLER.BIN" qui est associé à la vraie corbeille de Windows grâce à un déguisement supplémentaire fourni par les cybercriminels de Windows. Le ver copie ensuite les fichiers du réseau infecté vers la clé USB.
Le retour mondial du ver USB ?
La distribution de logiciels malveillants USB, longtemps considérée comme obsolète, ne peut pas être tuée : Sophos avait déjà remarqué une accumulation de cette activité l'année dernière. Le ver PlugX fait des bêtises depuis au moins 2008. Sur la scène de la sécurité, son origine est unanimement attribuée au groupe de hackers MustangPanda, un gang d'attaquants associé à des activités de cyberespionnage chinoises parrainées par l'État.
Gabor Szappanos, Threat Research Director, Sophos, à propos de la renaissance du ver USB : « En novembre de l'année dernière, nous avons signalé diverses concentrations d'activités hostiles actives contre des entités gouvernementales en Asie du Sud-Est, qui utilisaient également cette méthode rétro via des clés USB. Le ver a finalement refait surface à des milliers de kilomètres en Afrique un mois plus tard. Aujourd'hui, cette nouvelle accumulation d'activités de vers USB s'étend sur trois continents.
L'USB n'est souvent plus dans l'œil de la sécurité
Nous ne considérons pas les supports amovibles comme particulièrement mobiles par rapport aux attaques basées sur le Web, mais cette méthode de prolifération s'est avérée très efficace dans ces parties du monde. De nombreux acteurs aux intérêts très différents profitent des avantages d'une clé USB, mais il nous semble que le groupe MustangPanda en est le cerveau.
Il est peut-être trop tôt pour annoncer le retour du ver USB, mais il ne s'agit certainement pas d'une technologie obsolète d'il y a dix ou vingt ans. Certains acteurs de la menace bien connus continuent de profiter de l'USB pour faire proliférer leurs logiciels malveillants.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.