La truffa di una chiavetta USB con malware, che si pensava fosse obsoleta da molto tempo, è stata nuovamente tirata fuori dalla scatola del crimine informatico. Una nuova variante del noto worm PlugX è apparsa in Nigeria, Ghana, Zimbabwe e Mongolia ed è ancora in fase di migrazione.
A 16.000 miglia di distanza ci sono gli attuali focolai di una nuova specie di worm USB PlugX: dopo essere apparso per la prima volta in Papua Nuova Guinea nell'agosto 2022, le infezioni sono spuntate in Ghana, Mongolia, Zimbabwe e Nigeria.
Ecco come funziona la nuova versione del worm
La nuova versione, rilevata da Sophos X-Ops, si diffonde tramite unità USB e utilizza un file eseguibile legittimo, che inietta nella rete di destinazione. Si nasconde quindi in una falsa directory chiamata "RECYLER.BIN" che è associata al vero Cestino di Windows grazie a un travestimento aggiuntivo fornito dai criminali informatici di Windows. Il worm copia quindi i file dalla rete infetta all'unità USB.
Ritorno globale del worm USB?
La distribuzione di malware USB, a lungo ritenuta obsoleta, non può essere uccisa: Sophos aveva già notato un accumulo di questa attività lo scorso anno. Il worm PlugX è stato oggetto di malizia almeno dal 2008. Nella scena della sicurezza, la sua origine è attribuita all'unanimità al gruppo di hacker MustangPanda, una banda di attaccanti associata all'attività di spionaggio informatico cinese sponsorizzata dallo stato.
Gabor Szappanos, Threat Research Director, Sophos, sulla rinascita del worm USB: “Nel novembre dello scorso anno, abbiamo segnalato varie concentrazioni di attività ostili attive contro entità governative nel sud-est asiatico, che hanno utilizzato anche questo metodo retrò tramite unità USB. Il verme alla fine è emerso a migliaia di chilometri di distanza in Africa un mese dopo. Ora questo rinnovato accumulo di attività del worm USB si estende su tre continenti.
USB spesso non è più nell'occhio della sicurezza
Non consideriamo i supporti rimovibili particolarmente mobili rispetto agli attacchi basati sul Web, ma questo metodo di proliferazione si è dimostrato molto efficace in queste parti del mondo. Ci sono numerosi giocatori con interessi molto diversi che sfruttano i vantaggi di una chiavetta USB, ma ci sembra che il gruppo MustangPanda sia la mente dietro di essa.
Potrebbe essere troppo presto per annunciare un ritorno del worm USB, ma non si tratta certo di una tecnologia obsoleta di dieci o vent'anni fa. Alcuni noti attori delle minacce continuano a sfruttare l'USB per diffondere il loro malware".
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.