Niebezpieczne malware atakujące Windowsa poprzez porty USB

Trwa kampania, której celem jest infekcja urządzeń pracujących pod kontrolą systemu operacyjnego z rodziny Microsoft Windows poprzez zewnętrzne nośniki korzystające z portu USB.

Zespół badaczy do spraw bezpieczeństwa cybernetycznego firmy Palo Alto Networks poinformował o nowej kampanii przeprowadzanej z wykorzystaniem złośliwego oprogramowania. Sprawa powiązana jest z niedawnym naruszeniem Black Basta.

PlugX wykorzystuje zewnętrzne nośniki pamięci
Źródło: Sara Kurfeß / Unsplash

PlugX wykorzystuje zewnętrzne nośniki pamięci

Źródło: Sara Kurfeß / Unsplash

Cyberprzestępcy obrali sobie za cel komputery pracujące pod kontrolą systemów operacyjnych z rodziny Windows. Do przeprowadzenia ataku wykorzystywane jest stare już złośliwe opdrgrmoawnaie z rodziny PlugX, które służy do infekowania wymiennych dysków USB. Zainfekowane nośniki pamięci przesyłają wbudowanego w nie wirusa na każde urządzenie z Windowsem, do którego podłączona zostanie pamięć.

Zobacz również:

  • Cisco finalizuje przejęcie Splunk
  • Problemów TikToka w USA ciąg dalszy
  • Czy smartfony potrzebują oprogramowania antywirusowego

Istniejące od ponad 10 lat zagrożenie początkowo identyfikowane było z chińskimi grupami hakerskimi.

Oprogramowanie PlugX w najnowszej wersji jest niemalże niewykrywalne nawet przez najnowsze wersje systemów operacyjnych Windows 10 i Windows 11 z wszystkimi poprawkami zabezpieczeń. Według pracowników Palo Alto Networks ukryte pliki można zobaczyć dopiero na systemie z rodziny Unix lub podłączając je do specjalistycznych skanerów danych.

Pliki ukryte są przez znaki Unicode, które wstrzymują Eksplorator Plików oraz powłokę poleceń przed ich wyświetleniem. Złośliwe oprogramowanie stale monitoruje nowe urządzenia wymienne USB, a ofiary nieświadomie kontynuują rozprzestrzenianie złośliwego oprogramowania PlugX.

Pełne informacje dotyczące oprogramowania PlugX Malware znajdują się na stronach Palo Alto Networks. Firma obiecuje przekazanie szczegółowych informacji na temat incydentu z Cyber Threat Alliance.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200