Di seguito vi proponiamo un commento dei due ricercatori di Unit 42 di Palo Alto Networks, Mike Harbison, Jen Miller Osborn relativo alla scoperta di PlugX, il malware che nasconde file infetti nel dispositivi USB delle vittime.
La scoperta di Unit 42
Di recente, il team di incident response di Unit 42 è stato impegnato nella risposta a una violazione di Black Basta che ha portato alla luce diversi strumenti e campioni di malware sui computer delle vittime, tra cui il malware GootLoader, il tool di red-teaming Brute Ratel C4 e un vecchio campione di malware PlugX. Quest’ultimo si è distinto per la capacità di infettare i dispositivi USB connessi, come unità floppy, thumb o flash, e ogni altro sistema a cui l’USB viene successivamente collegato.
Il malware PlugX nasconde anche file di attacco nei dispositivi USB utilizzando una tecnica innovativa che funziona anche sui sistemi operativi Windows più recenti (al momento della pubblicazione di questo articolo). Ciò significa che i file dannosi possono essere visualizzati solo su un sistema operativo Unix-like (*nix) o inserendo il dispositivo USB in un tool forense.
Unit 42 ha scoperto anche una variante simile di PlugX in VirusTotal che infetta i dispositivi USB e copia tutti i file Adobe PDF e Microsoft Word dall’host. Le copie vengono collocate in una cartella nascosta sui dispositivi USB creata dal malware.
Le origini di PlugX: il pericolo si cela dentro i dispositivi USB
PlugX è un impianto di secondo livello utilizzato non solo da più gruppi legati alla Cina, ma anche da diversi gruppi di comune criminalità informatica. È in circolazione da oltre dieci anni ed è stato osservato in alcuni cyberattacchi di alto profilo, tra cui la violazione dell’Office of Personnel Management (OPM) del governo statunitense nel 2015. Si tratta di un framework malware modulare che supporta una serie di capacità in evoluzione nel corso degli anni.
di Mike Harbison, Jen Miller Osborn, ricercatori di Unit 42 di Palo Alto Networks