I ricercatori di Palo Alto Network hanno scoperto una nuova variante di PlugX che sfrutta i dispositivi USB per propagarsi da un sistema all’altro. Gli autori del malware, probabilmente cybercriminali cinesi, sfruttano vari metodi per nascondere i file agli occhi dell’ignara vittima. Fortunatamente viene rilevato e bloccato dalle principali soluzioni di sicurezza, tra cui Norton 360 Premium.
PlugX si nasconde nella pena drive USB
I ricercatori di Palo Alto Network hanno scoperto la nuova variante di PlugX durante un’indagine avviata in seguito ad un attacco effettuato dal ransomware Black Basta. Non è noto come il malware sia arrivato sul computer delle vittime, ma sono state individuate le tecniche usate per infettare i dispositivi USB.
PlugX sfrutta tool legittimi (firmati digitalmente) e la tecnica DLL side-loading per caricare il payload in memoria. In questo caso è stato utilizzato il tool di debugging x32dbg. Quando eseguito carica in memoria una versione infetta di x32bridge.dll
e il malware (x32bridge.dat
). PlugX infetta quindi Windows e tutti i dispositivi USB collegati al computer.
Il malware crea varie directory nascoste sul drive USB. L’utente vede solo un file LNK con lo stesso nome del dispositivo. Quando clicca sul file avvia la catena di infezione. PlugX viene copiato sul computer e su ogni dispositivo collegato. In questo modo avviene la propagazione “air-gapped”. Un’altra variante copia file PDF e Word in una directory nascosta creata sul drive USB (non è noto come vengono inviati ai cybercriminali).