O golpe de um stick USB com malware, que se pensava estar desatualizado por muito tempo, na verdade foi retirado da caixa do cibercrime novamente. Uma nova variante do conhecido worm PlugX apareceu na Nigéria, Gana, Zimbábue e Mongólia e ainda está migrando.
A 16.000 milhas de distância estão os surtos atuais de uma nova espécie de worm PlugX USB: depois de aparecer pela primeira vez em Papua Nova Guiné em agosto de 2022, infecções surgiram em Gana, Mongólia, Zimbábue e Nigéria.
É assim que funciona a nova versão do worm
A nova versão, detectada pelo Sophos X-Ops, se espalha por meio de drives USB e usa um arquivo executável legítimo, que é injetado na rede de destino. Em seguida, ele se esconde em um diretório falso chamado "RECYLER.BIN", que está associado à verdadeira Lixeira do Windows, graças a um disfarce adicional fornecido pelos criminosos cibernéticos do Windows. O worm então copia os arquivos da rede infectada para a unidade USB.
Retorno global do worm USB?
A distribuição de malware USB, há muito considerada obsoleta, não pode ser eliminada: a Sophos já havia notado um acúmulo dessa atividade no ano passado. O worm PlugX tem causado danos desde pelo menos 2008. No cenário de segurança, sua origem é unanimemente atribuída ao grupo de hackers MustangPanda, uma gangue de invasores associada à atividade de espionagem cibernética chinesa patrocinada pelo estado.
Gabor Szappanos, diretor de pesquisa de ameaças da Sophos, sobre o renascimento do worm USB: “Em novembro do ano passado, relatamos várias concentrações de atividades hostis ativas contra entidades governamentais no Sudeste Asiático, que também usaram esse método retro por meio de unidades USB. O verme finalmente apareceu a milhares de quilômetros de distância, na África, um mês depois. Agora, esse acúmulo renovado de atividade de worm USB se estende por três continentes.
USB geralmente não está mais no olho da segurança
Não consideramos a mídia removível particularmente móvel em comparação com os ataques baseados na Web, mas esse método de proliferação provou ser muito eficaz nessas partes do mundo. Existem inúmeros jogadores com interesses muito diferentes que fazem uso das vantagens de um pendrive, mas nos parece que o grupo MustangPanda é o cérebro por trás disso.
Pode ser muito cedo para anunciar o retorno do worm USB, mas certamente não é uma tecnologia obsoleta de dez ou vinte anos atrás. Alguns agentes de ameaças conhecidos continuam a tirar proveito do USB para proliferar seu malware.”
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.