0
0
O malware de espionagem que se espalha por autopropagação por meio de unidades USB infectadas está de volta, surgindo recentemente em um incidente em uma instituição de saúde europeia, descobriram pesquisadores.
Pesquisadores da Check Point Research descobriram o backdoor, que apelidaram de WispRider. A campanha é obra da APT patrocinada pelo Estado chinês que a Check Point acompanha como “Camaro Dragon”, mas que provavelmente é mais conhecida como Mustang Panda (também conhecida como Luminous Moth e Bronze President).
A Check Point descobriu o malware pela primeira vez quando um funcionário que havia participado de uma conferência realizada na Ásia voltou para casa com uma unidade USB infectada, revelaram pesquisadores em um post de blog publicado em 22 de junho. Aparentemente, o funcionário – apelidado de “Paciente Zero” pelos pesquisadores – compartilhou sua apresentação com outros participantes usando sua unidade USB, e um de seus colegas lá transmitiu a infecção de seu computador, disseram eles.
“Consequentemente, ao retornar à instituição de saúde na Europa, o funcionário inadvertidamente introduziu a unidade USB infectada, o que levou à disseminação da infecção para os sistemas de computador do hospital”, escreveram os pesquisadores da Check Point no relatório.
O incidente mostra como a APT, que antes concentrava suas atividades de espionagem cibernética principalmente em organizações no sudeste asiático, agora está ampliando seu alcance globalmente, disseram eles. De fato, apesar do apoio tácito da China à guerra da Rússia contra a Ucrânia, o Mustang Panda já foi visto no ano passado montando uma campanha de espionagem cibernética contra os militares russos.
A pesquisa também destaca o papel “alarmante” que as unidades USB desempenham na disseminação de malware de forma rápida e, muitas vezes, sem o conhecimento dos usuários – mesmo em sistemas com ar-condicionado. “Esses programas maliciosos possuem a capacidade de se autopropagar por meio de drives USB, tornando-os portadores potentes de infecção, mesmo além de seus alvos pretendidos”, escreveram os pesquisadores da Check Point no post.
WispRider, uma carga útil de malware em evolução
A principal carga útil da campanha descoberta pelos pesquisadores é chamada de WispRider, que é um backdoor descrito em um relatório no final do ano passado pela Avast – no qual o conjunto de ferramentas foi chamado de “SSE”. Desde então, ele foi fortificado com recursos adicionais, disseram os pesquisadores da Check Point.
Por um lado, ele se propaga através de unidades USB usando um lançador chamado HopperTick, e também inclui um bypass para SmadAV, uma solução antivírus popular no Sudeste Asiático. O malware também realiza o carregamento lateral de DLL usando componentes de software de segurança, como o G-DATA Total Security, e de duas grandes empresas de jogos, Electronic Arts e Riot Games, disseram os pesquisadores. A Check Point notificou as empresas sobre o uso de seus componentes no malware, disseram.
WispRider e Hopper Tick se alinham com outras ferramentas do Mustang Panda em termos de infraestrutura e objetivos operacionais, permitindo sua atribuição ao APT chinês, observaram os pesquisadores. O malware relacionado também usado pelo agente de ameaças inclui um backdoor baseado em Go chamado TinyNote e um implante de firmware de roteador malicioso chamado HorseShell.
A infecção WispRider começa quando um pen drive USB benigno é inserido em um computador infectado, explicaram os pesquisadores. O malware detecta um novo dispositivo inserido no PC e manipula seus arquivos, criando várias pastas ocultas na raiz do pen drive. Em seguida, copia para o pen drive um carregador Delphi com o nome do pen drive original e um ícone de pen drive USB.
Curiosamente, não há nenhuma técnica especial usada neste fluxo de infecção USB para executar automaticamente o lançador Delphi; Em vez disso, depende de engenharia social, explicaram os pesquisadores.
“As vítimas não podem mais ver seus arquivos na unidade e ficam apenas com o executável, que provavelmente clicarão para revelar seus arquivos – desencadeando assim um fluxo de infecção da máquina”, escreveram no post.
O WispRider atua como um infector e backdoor, carregamento lateral como uma DLL que inclui o componente infector USB e o próprio backdoor, disseram os pesquisadores. Ele tem fluxos de execução para executar tanto a partir de uma máquina infectada quanto para infectar uma máquina se ela ainda não tiver sido infectada, explicaram.
Este último “é provavelmente um vetor de infecção alternativo que entrega o malware à rede alvo quando os atores não podem confiar na propagação USB, pois não podem acessar fisicamente a máquina para conectar uma unidade infectada”, escreveram os pesquisadores.
Além disso, com base em táticas conhecidas do Mustang Panda, as infecções WispRider não-USB provavelmente se originam por meio de “campanhas de spear-phishing que entregam um arquivo com todos os arquivos relacionados à infecção e garantem que o executável legítimo seja executado com um argumento relevante”, escreveram.
Mitigando ameaças cibernéticas transmitidas por USB
As infecções propagadas por USB existem há duas décadas, mas estão se tornando cada vez mais um vetor de ataque popular de APTs e outros grandes grupos cibercriminosos por causa da rapidez com que os agentes de ameaças podem espalhar vários tipos de malware por meio desse vetor. Ele também permite que eles esgueiram malware para redes de outra forma fortemente protegidas através de dispositivos individuais, os usuários dos quais podem não estar cientes de que eles estão carregando uma infecção.
De fato, o FBI alertou no início deste ano sobre uma campanha de ataque cibernético USB na qual o grupo de ameaças FIN7 estava na verdade enviando pen drives para organizações dos EUA com o objetivo explícito de entregar ransomware em seus ambientes.
Devido à natureza crescente e à grande área de superfície desses ataques, os pesquisadores da Check Point fizeram uma série de recomendações para ajudar as organizações a se protegerem contra ataques baseados em drives USB:
- Aumentar a conscientização entre os funcionários sobre os perigos potenciais do uso de unidades USB de fontes desconhecidas ou não confiáveis, e incentivar o comportamento cauteloso e desencorajar o uso de unidades desconhecidas em dispositivos corporativos;
- As organizações também devem estabelecer diretrizes rígidas e claras sobre o uso de drives USB com qualquer dispositivo conectado à rede corporativa, e até mesmo considerar limitar ou proibir seu uso, a menos que obtido de fontes confiáveis;
- Na verdade, é uma boa ideia que as empresas busquem alternativas seguras aos USBs, como armazenamento em nuvem ou plataformas criptografadas de compartilhamento de arquivos, observaram os pesquisadores. Isso reduzirá a dependência de unidades USB físicas e mitigará os riscos associados;
- Além disso, manter as medidas de segurança atualizadas em geral, atualizando o software antivírus e outros softwares de segurança em todos os dispositivos, bem como verificando periodicamente as unidades USB em busca de possíveis infecções, também pode ajudar a proteger as redes corporativas.
FONTE: DARK READING