Il malware cinese PlugX si nasconde nei dispositivi USB?

redazione

Di recente, il team di incident response di Unit 42 è stato impegnato nella risposta a una violazione di Black Basta che ha portato alla luce diversi strumenti e campioni di malware sui computer delle vittime, tra cui il malware GootLoader, il tool di red-teaming Brute Ratel C4 e un vecchio campione di malware PlugX. Quest’ultimo si è distinto per la capacità di infettare qualsiasi dispositivo USB rimovibile connesso, come unità floppy, thumb o flash, e ogni altro sistema a cui l’USB viene successivamente collegato.

Il malware PlugX nasconde anche file di attacco nei dispositivi USB utilizzando una tecnica innovativa che funziona anche sui sistemi operativi Windows più recenti (al momento della pubblicazione di questo articolo). Ciò significa che i file dannosi possono essere visualizzati solo su un sistema operativo Unix-like (*nix) o inserendo il dispositivo USB in un tool forense.

Unit 42 ha scoperto anche una variante simile di PlugX in VirusTotal che infetta i dispositivi USB e copia tutti i file Adobe PDF e Microsoft Word dall’host. Le copie vengono collocate in una cartella nascosta sul dispositivo USB creata dal malware.

PlugX è un impianto di secondo livello utilizzato non solo da più gruppi legati alla Cina, ma anche da diversi gruppi di comune criminalità informatica. È in circolazione da oltre dieci anni ed è stato osservato in alcuni cyberattacchi di alto profilo, tra cui la violazione dell’Office of Personnel Management (OPM) del governo statunitense nel 2015. Si tratta di un framework malware modulare che supporta una serie di capacità in evoluzione nel corso degli anni.

Tutti i dettagli sul malware PlugX sono disponibili in questo blog https://unit42.paloaltonetworks.com/plugx-variants-in-usbs