Apesar de estarem a cair em desuso, as pens USB ainda são uma das formas preferidas dos utilizadores para partilhar ficheiros quando estão próximos. Mesmo sendo uma forma muito simples e rápida, a verdade é que escondem alguns perigos de segurança graves.
A prova disso mesmo chega agora, com a descoberta de mais um malware perigoso que usa este meio para se propagar. O mais estranho é que o PlugX não pode ser detetado de forma fácil no gestor de ficheiros do Windows.
Um malware antigo a fazer novos estragos
O malware PlugX foi descoberto recentemente e de forma muito casual. Em resposta a um incidente de segurança, uma equipa detetou a presença deste novo elemento, que rapidamente foi avaliado e onde foram descobertas as suas capacidades de propagação.
Este pode ocultar os seus arquivos maliciosos em Pens USB removíveis e infetar as máquinas Windows onde se ligam. O malware usa o que os pesquisadores chamam de “uma nova técnica” que permite que permaneça sem ser detetado por períodos longos e pode-se espalhar para sistemas sem ligação.
Chega pelas Pens USB que ligamos no Windows
O PlugX é um malware antigo que tem sido usado desde pelo menos 2008, inicialmente apenas por grupos de hackers chineses. Tem evoluído e usa um caractere Unicode para criar uma diretoria nas Pens USB detetadas, o que as torna invisíveis no Windows Explorer e na shell de comando. Essas diretórias são visíveis no Linux, mas ocultas no Windows.
O caminho do atalho para o malware contém o caractere espaço em branco Unicode, que é um espaço que não causa quebra de linha, mas não é visível quando visualizado no Windows Explorer. A vítima clica no arquivo de atalho na pasta raiz do dispositivo USB, que executa o x32.exe, resultando na infeção do host com o malware PlugX.
Há ainda muito a descobrir sobre o PlugX
Depois do PlugX entrar no dispositivo, ele monitoriza continuamente os novos dispositivos USB e tenta infetá-los. Neste caso, o foco é o roubo de documentos, mas tem a capacidade de copiar documentos PDF e Word para uma pasta oculta. Não se sabe como os atacantes recuperam esses ficheiros, há várias possibilidades.
Importa assim ter muito cuidado com o acesso de Pens USB aos nossos equipamentos, pois é muito simples ficar infetado. A forma como se consegue esconder torna-o ainda mais perigoso, tornando-se completamente invisível e assim ser um ataque silencioso.