.
O malware destinado a se espalhar em unidades USB está infectando involuntariamente dispositivos de armazenamento em rede, de acordo com o fornecedor de infosec Checkpoint.
O software desagradável vem de um grupo chamado Camaro Dragon que os pesquisadores da Checkpoint na quinta-feira sugerido conduzir campanhas semelhantes às realizadas pelas gangues de ataque Mustang Panda e LuminousMoth da China.
A Checkpoint considera o Camaro Dragon o mais interessado em alvos asiáticos – seu código inclui recursos projetados para ocultá-lo do SmadAV, uma solução antivírus popular na região.
Mesmo assim, a empresa detectou pela primeira vez as atividades da gangue na Europa!
“O paciente zero na infecção por malware foi identificado como um funcionário que participou de uma conferência na Ásia”, escreveram os pesquisadores da Checkpoint. “Ele compartilhou sua apresentação com outros participantes usando seu drive USB. Infelizmente, um de seus colegas tinha um computador infectado, então seu próprio drive USB inadvertidamente foi infectado como resultado.
“Ao retornar ao hospital de origem na Europa, o funcionário introduziu a unidade USB infectada nos sistemas de computador do hospital, o que fez com que a infecção se espalhasse”.
A Checkpoint acredita que a cadeia de infecção começa quando uma vítima lança um inicializador Delphi malicioso na unidade flash USB infectada. Isso aciona um backdoor que carrega malware em outras unidades conforme elas se conectam à máquina infectada.
Isso é desagradável, mas também pode ser contido com várias técnicas que restringem os dispositivos USB.
O malware representa maiores riscos para a TI corporativa, porque as máquinas infectadas instalam o malware em qualquer unidade de rede recém-conectada, mas não em unidades já conectadas a uma máquina no momento da infecção.
A Checkpoint acredita que a propagação para unidades de rede recém-conectadas não é intencional.
Conheça o TeamT5, a equipe de segurança da informação taiwanesa enfrentando Pequim e derrotando suas difamações
“Embora as unidades de rede infectadas dessa maneira teoricamente possam ser usadas como um meio de movimento lateral dentro da mesma rede, esse comportamento parece ser mais uma falha do que um recurso intencional”, escreveram os pesquisadores. “Manipular vários arquivos e substituí-los por um executável com um ícone de pen drive USB em unidades de rede é uma atividade notável que pode atrair atenção adicional e desfavorável.”
E todos nós sabemos que as gangues de crimes cibernéticos tentam manter a discrição pelo maior tempo possível, para que seu código maligno possa fazer seu trabalho maligno.
Se esse código for executado, ele instalará um backdoor e tentará exfiltrar os dados. Isso torna a infecção aparentemente acidental do armazenamento em rede bastante séria – em muitas organizações, é onde as coisas boas são armazenadas.
Outro recurso desagradável desse malware é que ele “também executa carregamento lateral de DLL usando componentes de software de segurança, como o G-DATA Total Security, e de duas grandes empresas de jogos (Electronic Arts e Riot Games)”. A Checkpoint informou aos desenvolvedores de jogos sobre seu papel involuntário nos planos do Camaro Dragon.
A Checkpoint escreveu que viu o código USB em Myanmar, Coreia do Sul, Grã-Bretanha, Índia e Rússia.
“A prevalência e a natureza dos ataques usando malware USB autopropagado demonstram a necessidade de proteção contra eles, mesmo para organizações que podem não ser alvos diretos de tais campanhas”, aconselha a empresa. ®
.
