Nonostante richiedano l’accesso fisico al dispositivo, gli esperti di Mandiant hanno rilevato un incremento degli attacchi effettuati con drive flash USB a scopo di spionaggio. Questa tecnica viene sfruttata principalmente per sistemi non connessi ad Internet. Per le due campagne più recenti sono stati utilizzati i malware Sogu e Snowydrive.
Infezione tramite Sogu
Le vittime del malware Sogu sono aziende che operano in diversi settori e si trovano in vari paesi (anche in Italia). Sulla pen drive ci sono tre file: un eseguibile legittimo, una DLL infetta e un payload cifrato. Inserendo la pen drive nella porta USB, l’eseguibile carica in memoria la DLL, ovvero il loader Korplug che a sua volta esegue il payload finale, la backdoor Sogu.
Per mantenere la persistenza aggiunge una chiave al registro di Windows e crea un’attività pianificata. Il malware cerca quindi file con specifiche estensioni (PDF e Office) che vengono successivamente inviati al server C2 (command and control) in forma cifrata. Sogu supporta anche altre funzionalità, come cattura di screenshot, reverse shell e keylogging. Può inoltre propagarsi su tutti i drive USB collegati al computer.
Infezione tramite Snowydrive
In questo caso, la vittima viene convinta ad eseguire un file infetto che sembra legittimo. Vengono quindi copiati su disco una serie di componenti, ognuno dei quali svolge una specifica attività: persistenza (chiave nel registro), propagazione su altri drive USB, aggiramento dei controlli di sicurezza e download della backdoor.
Quest’ultima è Snowydrive che viene iniettata nel processo CUZ.exe
del software legittimo CAM UnZip. La backdoor si collega al server C2 per ricevere i comandi, tra cui quello per l’esfiltrazione dei dati. La soluzione migliore per bloccare questi malware è impedire il collegamento delle pen drive.