Analisando um ataque de ransomware, a Unidade 42 encontrou o malware PlugX. Essa variante primeiro identifica todos os dispositivos de mídia removíveis USB conectados, como disquetes, pendrives ou unidades flash e, em seguida, infecta todas as mídias inseridas. Se um stick USB infectado estiver conectado, a infecção se espalhará imediatamente para todos os dispositivos USB conectados.
A Unidade 42 da Palo Alto Networks divulgou uma investigação sobre as ferramentas que a equipe observou respondendo a um ataque de ransomware do grupo de hackers Black Basta. Durante a investigação, a Palo Alto Networks identificou várias ferramentas de interesse nas máquinas das vítimas, incluindo: o malware GootLoader, a ferramenta de agrupamento vermelho Brute Ratel C4 e uma amostra de malware PlugX mais antiga.
Malware infecta todas as mídias USB
O malware PlugX chamou particularmente a atenção da Unidade 42, pois essa variante infecta qualquer dispositivo de mídia removível USB conectado, como disquete, pen drive ou pen drives, bem como qualquer outro sistema ao qual o dispositivo USB seja conectado posteriormente.
Esse malware PlugX também oculta os arquivos dos invasores em um dispositivo USB usando uma nova técnica que funciona até mesmo nos sistemas operacionais (SO) Windows mais recentes no momento da redação deste post. Isso significa que os arquivos maliciosos só podem ser visualizados em um sistema operacional semelhante ao Unix (*nix) ou montando o dispositivo USB em uma ferramenta forense.
Nova variante esconde arquivos infectados do Office
Além disso, a Unidade 42 descobriu uma variante semelhante do PlugX no VirusTotal com a capacidade adicional de copiar todos os documentos Adobe PDF e Microsoft Word do host infectado para a pasta oculta do dispositivo USB criada pelo malware PlugX. A descoberta dessas amostras mostra que, pelo menos para alguns invasores tecnicamente experientes, o PlugX ainda está evoluindo - e continua sendo uma ameaça ativa.
O malware PlugX existe há mais de uma década e tem sido comumente associado a grupos APT chineses no passado. Ao longo dos anos, outros grupos de invasores adotaram e implantaram esse malware, de estados-nação a agentes de ransomware.
Conclusões da investigação
- Esta variante do PlugX é vermífuga e infecta os dispositivos USB de tal forma que se esconde do sistema de arquivos do Windows. Um usuário não saberia que seu dispositivo USB está infectado e pode ser usado para exfiltração de dados da rede.
- A variante de malware PlugX usada neste ataque infecta todos os dispositivos de mídia removíveis USB conectados, como disquetes, pendrives ou unidades flash, bem como quaisquer sistemas adicionais aos quais o dispositivo USB seja conectado posteriormente.
- A Unidade 42 detectou uma variante semelhante do PlugX no VirusTotal que infecta dispositivos USB e copia todos os arquivos Adobe PDF e Microsoft Word do host. Essas cópias são colocadas em uma pasta oculta no dispositivo USB criado pelo malware.
- O PlugX é um implante de segundo estágio usado não apenas por alguns grupos de origem chinesa, mas também por vários grupos cibercriminosos. Ele existe há mais de uma década e foi observado em alguns ataques cibernéticos de alto nível, incluindo a invasão do Office of Personnel Management (OPM) do governo dos EUA em 2015.
- Qualquer host infectado com esta variante do malware PlugX está constantemente procurando novas unidades USB removíveis para infectar. Esse malware PlugX também oculta os arquivos do invasor em um dispositivo USB usando uma nova técnica que garante que os arquivos maliciosos só possam ser visualizados em um sistema operacional * nix ou montando o dispositivo USB em uma ferramenta forense. Essa capacidade de evitar a detecção permite que o malware PlugX se espalhe ainda mais e potencialmente penetre nas redes espionadas.
- O Brute Ratel C4 usado neste caso é o mesmo Badger payload (implante) relatado anteriormente pela Trend Micro, que também afeta o grupo de ransomware Black Basta.
Sobre a Palo Alto Networks A Palo Alto Networks, líder global em soluções de segurança cibernética, está moldando o futuro baseado em nuvem com tecnologias que transformam a maneira como as pessoas e as empresas trabalham. Nossa missão é ser o parceiro preferencial de segurança cibernética e proteger nosso modo de vida digital. Ajudamos você a enfrentar os maiores desafios de segurança do mundo com inovação contínua, aproveitando os avanços mais recentes em inteligência artificial, análise, automação e orquestração. Ao fornecer uma plataforma integrada e capacitar um crescente ecossistema de parceiros, somos líderes na proteção de dezenas de milhares de empresas em nuvens, redes e dispositivos móveis. Nossa visão é um mundo onde cada dia é mais seguro do que o anterior.