Các nhà nghiên cứu bảo mật đã phân tích một biến thể của phần mềm độc hại PlugX có thể ẩn các tệp độc hại trên các thiết bị USB di động, sau đó lây nhiễm các máy chủ Windows mà chúng kết nối.
Phần mềm độc hại sử dụng cái mà các nhà nghiên cứu gọi là "một kỹ thuật mới" cho phép nó không bị phát hiện trong thời gian dài hơn và có khả năng lây lan sang các hệ thống không có lỗ hổng.
Một mẫu của biến thể PlugX này đã được tìm thấy bởi nhóm Unit 42 của Mạng Palo Alto trong quá trình phản ứng với cuộc tấn công ransomware Black Basta dựa vào GootLoader và bộ công cụ hậu khai thác Brute Ratel cho các cam kết của nhóm đỏ.
Tìm kiếm các mẫu tương tự, Unit 42 cũng phát hiện ra một biến thể PlugX trên Virus Total định vị các tài liệu nhạy cảm trên hệ thống bị xâm nhập và sao chép chúng vào một thư mục ẩn trên ổ USB.
PlugX là một phần mềm độc hại cũ đã được sử dụng ít nhất là từ năm 2008, ban đầu chỉ bởi các nhóm tin tặc Trung Quốc - một số trong số họ tiếp tục sử dụng nó với phần mềm được ký điện tử để tải bên trọng tải trọng được mã hóa .
Tuy nhiên, theo thời gian, nó trở nên phổ biến đến mức nhiều tác nhân đã sử dụng nó trong các cuộc tấn công, khiến việc quy kết sử dụng nó trở thành một nhiệm vụ rất khó khăn.
Trong các cuộc tấn công gần đây mà Unit 42 đã quan sát thấy, kẻ đe dọa đang sử dụng phiên bản 32 bit của công cụ gỡ lỗi Windows có tên 'x64dbg.exe' cùng với phiên bản 'x32bridge.dll' bị nhiễm độc, sẽ tải trọng tải PlugX (x32bridge. dat).
Sơ đồ chuỗi lây nhiễm
Tại thời điểm viết bài này, hầu hết các công cụ chống vi-rút trên nền tảng quét Virus Total không gắn cờ tệp là độc hại, tỷ lệ phát hiện chỉ là 9 trong số 61 sản phẩm.
Kết quả quét VirusTotal
Các mẫu phần mềm độc hại PlugX gần đây hơn được phát hiện bởi ít công cụ chống vi-rút hơn trên Virus Total. Một trong số chúng, được thêm vào tháng 8 năm ngoái, hiện chỉ bị ba sản phẩm trên nền tảng này coi là mối đe dọa. Rõ ràng, các tác nhân bảo mật trực tiếp dựa vào nhiều công nghệ phát hiện để tìm kiếm hoạt động độc hại do một tệp trên hệ thống tạo ra.
Các nhà nghiên cứu giải thích rằng phiên bản PlugX mà họ gặp phải sử dụng một ký tự Unicode để tạo một thư mục mới trong các ổ USB được phát hiện, khiến chúng ẩn trên Windows Explorer và trình bao lệnh. Các thư mục này hiển thị trên Linux nhưng ẩn trên hệ thống Windows.
Unit 42 cho biết: “Để thực thi mã của phần mềm độc hại từ thư mục ẩn, tệp lối tắt Windows (.lnk) được tạo trên thư mục gốc của thiết bị USB”.
“Đường dẫn tắt đến phần mềm độc hại chứa ký tự khoảng trắng Unicode, là khoảng trắng không gây ngắt dòng nhưng không hiển thị khi xem qua Windows Explorer” - Palo Alto Networks Unit 42
Phần mềm độc hại tạo tệp 'desktop.ini' trên thư mục ẩn để chỉ định biểu tượng tệp LNK trên thư mục gốc, làm cho nó xuất hiện dưới dạng ổ USB để lừa nạn nhân. Trong khi đó, thư mục con 'RECYCLER.BIN' đóng vai trò ngụy trang, lưu trữ các bản sao của phần mềm độc hại trên thiết bị USB.
Thuộc tính tệp phím tắt
Kỹ thuật này đã được thấy trong phiên bản cũ hơn của PlugX do các nhà nghiên cứu của Sophos phân tích vào cuối năm 2020, mặc dù trọng tâm của báo cáo là tải bên DLL như một phương tiện để thực thi mã độc.
Nạn nhân nhấp vào tệp lối tắt trên thư mục gốc của thiết bị USB, tệp này thực thi x32.exe thông qua cmd.exe, dẫn đến máy chủ bị nhiễm phần mềm độc hại PlugX.
Đồng thời, một cửa sổ Explorer mới sẽ mở ra để hiển thị các tệp của người dùng trên thiết bị USB, khiến mọi thứ trở nên bình thường.
Sau khi PlugX có trên thiết bị, nó sẽ liên tục theo dõi các thiết bị USB mới và cố gắng lây nhiễm chúng khi phát hiện ra.
So sánh giữa ổ USB sạch và ổ USB bị nhiễm virus
Trong quá trình nghiên cứu, nhóm Unit 42 cũng đã phát hiện ra một biến thể ăn cắp tài liệu của phần mềm độc hại PlugX cũng nhắm mục tiêu vào các ổ USB nhưng có thêm khả năng sao chép các tài liệu PDF và Microsoft Word vào một thư mục trong thư mục ẩn có tên da520e5 .
Không biết làm cách nào mà các tác nhân đe dọa truy xuất các tệp “được lọc cục bộ” này từ ổ USB, nhưng truy cập vật lý có thể là một trong những cách đó.
Mặc dù PlugX thường được liên kết với các tác nhân đe dọa được nhà nước hậu thuẫn, nhưng phần mềm độc hại này có thể được mua trên các thị trường ngầm và tội phạm mạng cũng đã sử dụng nó.
Với sự phát triển mới khiến nó khó bị phát hiện hơn và cho phép nó lây lan qua các ổ đĩa di động, các nhà nghiên cứu của Unit 42 nói rằng PlugX có khả năng chuyển sang các mạng không khí.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.