Eine neue Variante der Malware-Familie PlugX verbreitet sich nicht über E-Mail-Anhänge oder heruntergeladene Programme, sondern lässt sich auf infizierten USB-Geräten finden. Aktuell werden einige Versionen der Schadsoftware nur von wenigen Antiviren-Programmen entdeckt.
Die Cyberbedrohung wurde vom Palo Alto Network-Team Unit 42 (via
PlugX nutzt ein Unicode-Zeichen, um sich in einem unsichtbaren Ordner auf dem USB-Stick zu verstecken. Im Root-Verzeichnis ist ein Shortcut platziert, womit der Schadcode ausgeführt wird. Gleichzeitig wird ein neues Explorer-Fenster mit den normalen Dateien geöffnet, damit der Anwender keinen Verdacht schöpft. Nachdem der Computer infiziert wurde, wird PlugX auch auf weitere USB-Geräte kopiert.
Da sich die Schadsoftware mithilfe von USB-Sticks verbreiten kann, wäre es denkbar, dass das Programm auch vom Internet getrennte Netzwerke erreicht. Die kopierten Dokumente könnten dann in die Hände von Angreifern gelangen, wenn die entsprechenden Speichermedien gestohlen oder weitergegeben werden. Aufgrund des hohen Aufwands dürfte die neue PlugX-Variante hauptsächlich von staatlich beauftragten Hackern eingesetzt werden.
Quelle; winfuture
Die Cyberbedrohung wurde vom Palo Alto Network-Team Unit 42 (via
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
) entdeckt. Den Sicherheitsforschern zufolge sucht die PlugX-Variante sensible Dokumente auf kompromittierten Systemen und kopiert die Dateien in einen versteckten Ordner auf dem angeschlossenen USB-Laufwerk. Die Malware verwendet die 32-Bit-Version des in Windows enthaltenen Debugging-Tools "x64dbg.exe" sowie eine kompromittiere Version der Bibliothek "x32bridge.dll", welche den PlugX-Code aus der "x32bridge.dat" lädt.
PlugX nutzt ein Unicode-Zeichen, um sich in einem unsichtbaren Ordner auf dem USB-Stick zu verstecken. Im Root-Verzeichnis ist ein Shortcut platziert, womit der Schadcode ausgeführt wird. Gleichzeitig wird ein neues Explorer-Fenster mit den normalen Dateien geöffnet, damit der Anwender keinen Verdacht schöpft. Nachdem der Computer infiziert wurde, wird PlugX auch auf weitere USB-Geräte kopiert.
Da sich die Schadsoftware mithilfe von USB-Sticks verbreiten kann, wäre es denkbar, dass das Programm auch vom Internet getrennte Netzwerke erreicht. Die kopierten Dokumente könnten dann in die Hände von Angreifern gelangen, wenn die entsprechenden Speichermedien gestohlen oder weitergegeben werden. Aufgrund des hohen Aufwands dürfte die neue PlugX-Variante hauptsächlich von staatlich beauftragten Hackern eingesetzt werden.
Viele Antiviren-Apps erkennen PlugX nicht
Derzeit werden modernere PlugX-Varianten nur von einem kleinen Teil der bekannten Antiviren-Apps erkannt. Virus Total gibt an, dass nur neun von 60 Programme die infizierte Datei als bösartig einstufen. Manche Versionen werden nur von drei Produkten entdeckt.Quelle; winfuture
