image

Spionagemalware die zich via usb-sticks verspreidt besmet honderden systemen

maandag 24 augustus 2020, 12:38 door Redactie, 6 reacties

Onderzoekers hebben spionagemalware ontdekt die zich via usb-sticks kan verspreiden en wereldwijd honderden systemen heeft besmet, waaronder in Nederland. Dat laat antivirusbedrijf Kaspersky in een analyse weten. De Crimson remote access trojan (RAT) die de aanvallers gebruiken om slachtoffers te bespioneren is al geruime tijd bekend, maar het gedeelte dat voor de verspreiding via usb wordt gebruikt is nooit publiek besproken, aldus de virusbestrijder.

De aanval begint, net als veel andere aanvallen, met een e-mail. Het bericht heeft als bijlage een Microsoft Office-document dat van een kwaadaardige macro is voorzien. Wanneer de gebruiker de macro inschakelt wordt de "thin client" van de Crimson RAT geïnstalleerd. Daarmee kunnen de aanvallers informatie over het systeem verzamelen, screenshots maken en aanvullende componenten uitvoeren.

Eén van deze componenten is de usb-worm, die op het systeem aangesloten usb-sticks infecteert en bestanden van usb-sticks kan stelen. Daarnaast kan de usb-worm de thin client op nog niet besmette systemen installeren. Om zich via usb-sticks te kunnen verspreiden maakt de worm gebruik van een eenvoudig truc. Zodra een schone usb-stick op een besmet systeem wordt aangesloten maakt de worm alle aanwezige mappen onzichtbaar en plaatst vervolgens gelijknamige exe-bestanden in de root directory, alleen dan voorzien van een map-icoon.

De gebruiker denkt hierdoor dat hij een map opent, terwijl in werkelijkheid de usb-worm wordt gestart. Om het slachtoffer niets te laten vermoeden opent de malware ook de verborgen gemaakte map. Eenmaal actief controleert de usb-worm of de Crimson RAT al op het systeem draait. Is dat niet het geval, dan zal de usb-worm de thin client installeren. Vervolgens wordt er een registersleutel aangemaakt die ervoor zorgt dat de usb-worm bij een herstart van het systeem wordt geladen. De usb-worm kan zo weer nieuw aangesloten usb-sticks besmetten en aanwezige bestanden stelen. Van usb-sticks gestolen bestanden worden op het al besmette systeem bewaard, waar ze door de aanvallers zijn te downloaden.

Kaspersky ontdekte tussen juni 2019 en juni 2020 meer dan duizend systemen die met de betreffende Crimson RAT waren besmet. In 87 procent van de gevallen ging het om infecties met de usb-worm. Ook in Nederland laat het antivirusbedrijf besmettingen zien. De meeste infecties werden in Afghanistan, India, Pakistan, Duitsland en Iran waargenomen.

Image

Reacties (6)
24-08-2020, 13:29 door Sjaneke
Klinkt als Stuxnet. Geweldig maar honderden systemen is nog niet veel.
24-08-2020, 14:01 door User2048
In het gelinkte artikel staat:
It also creates a registry key under “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” to execute the worm automatically.
Maar welke key het is, vermelden ze er niet bij. Die informatie is alleen beschikbaar voor "customers of Kaspersky Threat Intelligence Reports". Het is dus een lokkertje om klant van Kaspersky te worden.
24-08-2020, 14:58 door Anoniem
Met een zwarte hoed op zeg ik 'Wauw, netjes' met een witte hoed op zeg ik ' Wauw, dat is echt niet goed'.

Zonder hoed vraag ik me af wat de definitie is van 'een schone usb-stick'.

Quote: Zodra een schone usb-stick op een besmet systeem wordt aangesloten maakt de worm alle aanwezige mappen onzichtbaar en plaatst vervolgens gelijknamige exe-bestanden in de root directory, alleen dan voorzien van een map-icoon.

In mijn beleving is een schone usb-stick leeg en staan daar geen mappen, exe of enige andere files op.
24-08-2020, 15:10 door Anoniem
Michael Hayden bekende kwam al vaker op bij de publieke omroep op TV.
Daarbij 1x met een uitzending met commentaar over het wel/niet kunnen hacken van een Iraanse kern-reactor zonder dat die een directe internet verbinding had.
Daarbij bekende Michael Hayden dat de introductie van USB volgens hem primair niet was om kerncentrales secure te houden maar altijd op een 1 of ander moment op afstand software instructies aan het doel-apparaat van niets vermoedende derden(!!) er aan mee te kunnen geven indien ze zelfs geen internet verbinding hebben.
Of het USB consortium nou werkelijk is co-gefinancierd met die reden of niet,
het is 1 van de weinige bekentenissen van de voormalige NSA-man waarin hij de "eer" op-eist dat USB techniek niet geadapteerd is met de gebruiker als eerste prioriteit maar om de integriteit van elke computer te kunnen compromitteren.
Feit is tevens dat een autostart functie die een script oproept bij de eerste versies van usb stick's beter onderdrukt kon worden dan sinds in ieder geval usb 1.2 spec's en nieuwer.
Onder andere Sandisk deed qua marketing rondom de introductie destijds ook nogal wat moeite om haar usb-sticks met de in veel gevallen vrij overbodige extra functie van zo'n geforceerde autostart als "interessant" en "betrouwbare" gegevensdragers te verkopen.

Noot: "betrouwbaar" ging in die tijd in de context van usb sticks van minder bekende / onbekende merken minstens ook er om ging dat de data lees- en schrijf-snelheid die op de verpakking stond in gebruik grofweg daadwerkelijk in de buurt kwam van de opgave.
De autostart functie waar Sandisk haar usb-sticks mee uitrustte was bijvoorbeeld een extra hobbel die de meer bedreven / ervaren computer gebruikers niet belette bij het maken van een live usb-stick met Linux, maar die mogelijkheid voor de miner bedreven / ervaren meer onaantrekkelijk maakte.
Met de duidelijke caviat dat in veel gevallen er helaas software naast de boot-sector op de usb bleef staan was de levensduur van de usb-stick duidelijk niet opeens langer maar wel makkelijker gecomprommiteerd .
24-08-2020, 16:11 door Anoniem
Door Anoniem: In mijn beleving is een schone usb-stick leeg en staan daar geen mappen, exe of enige andere files op.
Je bedoelt een lege stick? In de context van malware is toch duidelijk dat met schoon niet besmet wordt bedoeld?
25-08-2020, 14:54 door Anoniem
Door Anoniem:
Door Anoniem: In mijn beleving is een schone usb-stick leeg en staan daar geen mappen, exe of enige andere files op.
Je bedoelt een lege stick? In de context van malware is toch duidelijk dat met schoon niet besmet wordt bedoeld?
Dus de perfect mitigerende maatregel is om malware (eentje uit de MS-DOS tijd die weinig/niets kan stukmaken) op de stick te plaatsen die niet uitgevoerd kan worden. De stick is dan niet meer 'schoon' en zal dan niet besmet kunnen worden!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.