Vírus se esconde em drives USB para roubar dados até de sistemas offline

Um vírus “à moda antiga” voltou a circular, usando drives USB contaminados como forma de contaminar e roubar dados até mesmo de dispositivos que estejam desconectados da internet. A praga chamada PlugX, que circula pelo menos desde 2008 e já foi usada em ataques com fins políticos, aparece agora em uma nova variante, com técnicas que a permitem escapar até mesmo do próprio usuário.

• Quatro medidas urgentes para aumentar a segurança de sua empresa
• 8 em cada 10 empresas desligam a segurança para não afetar a produção

A versão analisada pelos especialistas da Unit 42, divisão de cibersegurança da Palo Alto Networks, se aproveita de uma versão maliciosa de uma ferramenta de desenvolvimento chamada x32dbg. De código aberto, ela chega em um drive USB contaminado acompanhada de uma DLL maliciosa, que traz o PlugX em seu interior; o vírus busca outros dispositivos conectados e se implanta em todos que conseguir.

Onde há sucesso na contaminação, uma pasta oculta é criada, com atalhos do Windows que simulam ser o destkop ou a lixeira do sistema operacional, com cópias do vírus em seu interior. Quando executada, a praga pode buscar dados salvos no próprio drive USB, com preferência por arquivos nos formados PDF ou compatíveis com o Word, o que indica uma preferência dos criminosos por documentos corporativos e pessoais, que possam conter informações sensíveis para uso em vazamentos, extorsão ou golpes de engenharia social.

Enquanto isso, a disseminação do PlugX para outros drives USB também faz com que ela se espalhe rapidamente e de forma offline, podendo chegar até mesmo a dispositivos desconectados. Novamente, temos um elemento relacionado à espionagem, com a Unit 42 afirmando não saber exatamente como os criminosos responsáveis recuperam os dispositivos com arquivos desviados, mas indicando o acesso físico como a principal maneira para isso.

Enquanto a associação a estados-nação é clara desde os primeiros dias do PlugX, há quase 15 anos, sua versatilidade a tornou uma ferramenta revendida com frequência em fóruns cibercriminosos, o que acabou ampliando seu escopo. Os especialistas não associaram a nova atividade a países ou operações de espionagem específicas, mas não descartam essa possibilidade.

Os pesquisadores também apontam a baixa detecção do PlugX, com apenas 9 dos mais de 60 antivírus listados na plataforma VirusTotal identificando a praga positivamente. Por isso, a recomendação é de atenção na conexão de dispositivos USB desconhecidos e a criação de regras no ambiente corporativo para o uso de aparelhos desse tipo, principalmente em corporações onde também estão presentes sistemas desconectados que podem ser contaminados desta maneira.

Fonte: Unit 42