Malware de unidade USB PlugX afeta mais de 90 mil endereços IP

Da Redação
29/04/2024

Os sistemas associados a mais de 90 mil endereços IP exclusivos estão infectados com uma variante do worm PlugX que se espalha através de unidades USB infectadas, contornando sistemas de air-gapping(isolamento), relata a Sekoia. Nos últimos seis meses, a empresa de segurança cibernética tem monitorado conexões com um IP bloqueado vinculado ao worm, identificando mais de 2,5 milhões de endereços IP que se conectaram a ele ao longo do tempo.

Destes, entre 90 mil e 100 mil IPs únicos ainda enviam solicitações diárias para o “sumidouro”, mostrando que a botnet continua ativa, embora seus operadores não tenham mais controle sobre ela. No entanto, “qualquer pessoa com capacidade de interceptação ou que possua propriedade desse servidor pode enviar comandos arbitrários ao host infectado para redirecioná-lo para atividades maliciosas”, diz a Sekoia.

Embora o trojan de acesso remoto PlugX (RAT) exista desde 2008, a variante autopropagável foi lançada em 2020 por um operador de ameaça ligado à China e rastreado como Mustang Panda, provavelmente para exfiltrar dados de redes que não estão conectadas à internet.

O worm adiciona à unidade flash conectada um arquivo de atalho do Windows com o nome da unidade e três arquivos para carregamento lateral de DLL, ou seja, um executável legítimo, uma biblioteca maliciosa e um blob (coleção de dados) binário dentro da pasta oculta RECYCLER.BIN da unidade. conteúdo da unidade para um novo diretório.

Quando o usuário clica no arquivo de atalho, o malware abre uma nova janela exibindo o conteúdo da unidade e, em seguida, copia-se para o sistema e cria uma nova chave de registro para persistência. Em seguida, ele se reexecuta no sistema, onde verifica. a cada 30 segundos para que as unidades USB conectadas sejam infectadas.

Essa técnica de autopropagação, observa Sekoia, resultou na expansão incontrolável da botnet pelas redes, provavelmente levando os seus operadores a abandonar o servidor de comando e controle (C&C), que já não podia ser utilizado para gerir milhares de anfitriões infectados. Depois de identificar um IP C&C que não estava mais em uso, a Sekoia assumiu a propriedade do endereço e criou a infraestrutura necessária para gerenciar as tentativas de conexão e mapear suas fontes.

Veja isso
Grupo hacker explora dispositivos USB e plataformas legítimas
IA e USBs levam a alta de 8% nos ciberataques no 2º trimestre

A empresa de segurança conseguiu identificar cerca de 2,5 milhões de hosts infectados em mais de 170 países em todo o mundo e observou que o worm ainda se espalhava a uma média de 20 mil infecções por dia. No início deste mês, porém, a empresa de segurança detectou pouco mais de 100 mil IPs únicos ligados ao sumidouro. A maioria das vítimas está em países localizados em regiões de importância estratégica para a Iniciativa Cinturão e Rota, também conhecida como Cinturão Econômico da Rota da Seda Marítima da China. 

“É plausível, embora não seja definitivamente certo, uma vez que a China investe em todo o mundo, que este worm tenha sido desenvolvido para recolher informações em vários países sobre as preocupações estratégicas e de segurança associadas à Iniciativa Cinturão e Rota, principalmente nos seus aspectos marítimos e econômicos”, observa Sekoia.

A análise completa da nova variante do PlugX pela Sekoia pode ser acessada clicando aqui.

Compartilhar: