El malware destinado a propagarse en las unidades USB infecta sin darse cuenta los dispositivos de almacenamiento conectados a la red, según el proveedor Infosec Checkpoint.
El software defectuoso proviene de un grupo llamado Camaro Dragon que los investigadores de Checkpoint informaron el jueves. Propuesta Inicie campañas similares a las de la mafia en Chinese Mustang Panda y Luminous Moth.
Checkpoint considera que el Camaro Dragon está más interesado en objetivos asiáticos: su código incluye funciones diseñadas para ocultarlos de SmadAV, una solución antivirus popular en la región.
Sin embargo, ¡la compañía ha descubierto las actividades de la pandilla en Europa por primera vez!
«Se identificó una infección de malware del paciente cero como un empleado que participó en una conferencia en Asia», escribieron los investigadores de Checkpoint. Compartió su presentación con otros asistentes utilizando su unidad USB. Desafortunadamente, uno de sus compañeros de clase tenía una computadora infectada, por lo que su unidad USB se infectó sin darse cuenta como resultado.
“Al regresar a casa en el hospital en Europa, el empleado insertó la unidad USB infectada en los sistemas informáticos del hospital, lo que propagó la infección”.
El punto de control cree que la cadena de infección comienza cuando la víctima inicia un lanzador Delphi malicioso en la unidad flash USB infectada. Al hacerlo, se activa una puerta trasera que carga malware en otras unidades mientras están conectadas a la máquina infectada.
Esto es malo, pero también se puede contener mediante el uso de varias tecnologías que restringen los dispositivos USB.
El malware representa un mayor riesgo para la TI empresarial, porque los dispositivos infectados instalan malware en las unidades de red recién conectadas, pero no en las unidades que ya estaban conectadas a un dispositivo en el momento de la infección.
El punto de control cree que la propagación a las unidades de red recién conectadas no es intencionada.
Conozca TeamT5, el equipo de información taiwanés contra Beijing y supere su distorsión
Leer más
«Aunque las unidades de red infectadas de esta manera teóricamente podrían usarse como un medio de movimiento lateral dentro de la misma red, este comportamiento parece más una falla que una característica prevista», escribieron los investigadores. «Manipular muchos archivos y reemplazarlos con un archivo ejecutable con un ícono de unidad flash USB en las unidades de red es una actividad obvia que puede atraer una atención desfavorable adicional».
Y todos sabemos que las bandas de delincuentes cibernéticos intentan mantener un perfil bajo durante el mayor tiempo posible para que su código maligno pueda hacer su trabajo maligno.
Si este código se ejecuta, instala una puerta trasera e intenta sacar los datos. Esto hace que la infección aparentemente accidental del almacenamiento en red sea bastante peligrosa, en muchas instituciones donde se almacenan las cosas buenas.
Otra característica desagradable de este malware es que «también descarga archivos DLL con componentes de software de seguridad, como G-DATA Total Security y dos importantes compañías de juegos (Electronic Arts y Riot Games)». Checkpoint ha informado a los desarrolladores del juego de su papel involuntario en los planes para el Camaro Dragon.
Checkpoint escribe que ha visto el símbolo que lleva el USB en Myanmar, Corea del Sur, Gran Bretaña, India y Rusia.
«La prevalencia y la naturaleza de los ataques que utilizan malware USB autopropagante demuestran la necesidad de protegerse contra ellos, incluso para organizaciones que pueden no ser objetivos directos de tales campañas», advierte la empresa. ®
«Fanático del café. Amable aficionado a los zombis. Devoto practicante de la cultura pop. Malvado defensor de los viajes. Organizador típico».