Nueva variante de un peligroso malware se está propagando a través de dispositivos USB
Investigadores de seguridad han analizado una variante del malware PlugX que puede ocultar archivos maliciosos en dispositivos USB extraíbles. Posteriormente, infecta los hosts de Windows a los que se conectan.
El malware utiliza lo que los investigadores llamaron “una técnica novedosa” que le permite pasar desapercibido durante períodos largos. Y, además, podría propagarse potencialmente a sistemas con espacio de aire.
El equipo de la Unit 42 de Palo Alto Network encontró una muestra de esta variante de PlugX durante una respuesta a un ataque del ransomware Black Basta que se basó en GootLoader y el kit de herramientas de post-explotación para hackers malintencionados Brute Ratel.
Buscando muestras similares, Unit 42 también descubrió una variante de PlugX en Virus Total. Esta variante localiza documentos confidenciales en el sistema comprometido y los copia en una carpeta oculta en la unidad USB.
Ocultando PlugX en unidades USB
PlugX es una pieza antigua de malware que se ha utilizado desde al menos 2008. Inicialmente solo fue utilizado por grupos de hackers chinos; algunos de ellos continúan usándolo con software firmado digitalmente para descargar payloads cifrados.
Con el tiempo, sin embargo, se generalizó tanto que múltiples actores lo adoptaron en los ataques. Esto hizo que la atribución de su uso fuera una tarea muy desafiante.
PlugX fue utilizado en algunos ataques cibernéticos de alto perfil, incluida la infracción de la Oficina de Administración de Personal (OPM) del gobierno de Estados Unidos en 2015. En resumen, es un marco de malware modular que admite un conjunto de capacidades en evolución a lo largo de los años.
En los ataques recientes que observó la Unit 42, el atacante está utilizando la versión de 32 bits de una herramienta de depuración de Windows llamada ‘x64dbg.exe
‘ junto con una versión maliciosa de ‘x32bridge.dll
‘, que carga el payload de PlugX (x32bridge. dat
).
Al momento de escribir este artículo, la mayoría de los motores antivirus en la plataforma de análisis VirusTotal no marcan el archivo como malicioso, la tasa de detección es de solo 9 de 61 productos.
Las muestras más recientes del malware PlugX son detectadas por incluso menos motores antivirus en VirusTotal. Una de ellas, agregada en agosto del año pasado, actualmente está marcada como una amenaza por solo tres productos en la plataforma. Obviamente, los agentes de seguridad en vivo se basan en múltiples tecnologías de detección que buscan actividad maliciosa generada por un archivo en el sistema.
Los investigadores explican que la versión de PlugX que encontraron utiliza un carácter Unicode para crear un nuevo directorio en las unidades USB detectadas. Esto las hace invisibles en el Explorador de Windows y en la shell de comandos. Estos directorios son visibles en Linux pero ocultos en los sistemas Windows.
Ataque
“Para lograr la ejecución del código del malware desde el directorio oculto, se crea un archivo de acceso directo de Windows (.lnk) en la carpeta raíz del dispositivo USB”.
“La ruta de acceso directo al malware contiene el caracter de espacio en blanco Unicode, que es un espacio que no causa un salto de línea pero no es visible cuando se ve a través del Explorador de Windows”.
Unit 42 de Palo Alto Networks
El malware crea un archivo ‘desktop.ini’ en el directorio oculto para especificar el ícono del archivo LNK en la carpeta raíz, haciéndolo aparecer como una unidad USB para engañar a la víctima. Mientras tanto, un subdirectorio 'RECYCLER.BIN
‘ actúa como un disfraz, alojando copias del malware en el dispositivo USB.
Esta técnica se observó en una versión anterior de PlugX analizada por investigadores de Sophos a fines de 2020, aunque el enfoque del informe estaba en la carga lateral de DLL como un medio para ejecutar código malicioso.
La víctima hace clic en el archivo de acceso directo en la carpeta raíz del dispositivo USB, que ejecuta x32.exe
a través decmd.exe
, lo que resulta en la infección del host con el malware PlugX.
Simultáneamente, se abre una nueva ventana del Explorador para mostrar los archivos del usuario en el dispositivo USB, haciendo que todo parezca normal.
Cuando un host está infectado con esta variante del malware PlugX, el malware monitorea continuamente los dispositivos USB extraíbles. Una vez que descubre e infecta un dispositivo USB, todos los archivos nuevos escritos en la carpeta raíz del dispositivo USB después de la infección se mueven a la carpeta oculta dentro del dispositivo USB. Dado que el archivo de acceso directo de Windows se parece al de un dispositivo USB y el malware muestra los archivos de la víctima, sin saberlo, continúan propagando PlugX.
Otra variante
Durante su investigación, el equipo de Unit 42 también descubrió una variante de robo de documentos del malware PlugX que también se dirige a las unidades USB. Sin embargo, tiene la capacidad adicional de copiar documentos PDF y Microsoft Word en una carpeta en el directorio oculto llamado da520e5
.
Se desconoce cómo los atacantes obtienen estos archivos “exfiltrados localmente” de la unidad USB, pero el acceso físico podría ser una de las formas.
Si bien PlugX generalmente se asoció con atacantes respaldados por estados, el malware se puede comprar en sitios clandestinos y los ciberdelincuentes también lo han utilizado.
Con el nuevo desarrollo que lo hace más difícil de detectar y permite que se propague a través de unidades extraíbles, los investigadores de la Unidad 42 dicen que PlugX tiene el potencial de saltar a las redes con espacio de aire.