Chinesische Malware, die USB-Laufwerke infizieren soll, infiziert versehentlich auch Netzwerkspeicher • The Register

Nach Angaben des Anbieters Infosec Checkpoint infiziert Malware, die sich auf USB-Laufwerken verbreiten soll, unbeabsichtigt Netzwerkspeichergeräte.

Die fehlerhafte Software stammt von einer Gruppe namens Camaro Dragon, über die Checkpoint-Forscher am Donnerstag berichteten Vorschlag Starten Sie Mob-ähnliche Kampagnen auf dem chinesischen Mustang Panda und der Luminous Moth.

Checkpoint geht davon aus, dass der Camaro Dragon am meisten an asiatischen Zielen interessiert ist – sein Code enthält Funktionen, die sie vor SmadAV, einer beliebten Antivirenlösung in der Region, verbergen sollen.

Allerdings hat das Unternehmen zum ersten Mal die Aktivitäten der Bande in Europa entdeckt!

„Patient ohne Malware-Infektion wurde als Mitarbeiter identifiziert, der an einer Konferenz in Asien teilnahm“, schrieben Checkpoint-Forscher. Er teilte seine Präsentation über seinen USB-Stick mit anderen Teilnehmern. Leider hatte einer seiner Klassenkameraden einen infizierten Computer, sodass sein USB-Stick versehentlich infiziert wurde.

„Als der Mitarbeiter nach Hause ins Krankenhaus in Europa zurückkehrte, steckte er den infizierten USB-Stick in die Computersysteme des Krankenhauses ein, was die Infektion verbreitete.“

Der Checkpoint geht davon aus, dass die Infektionskette beginnt, wenn das Opfer einen bösartigen Delphi-Launcher auf dem infizierten USB-Stick startet. Dadurch wird eine Hintertür ausgelöst, die Malware auf andere Laufwerke lädt, während diese mit dem infizierten Computer verbunden sind.

Das ist schlecht, kann aber auch durch den Einsatz verschiedener Technologien eingedämmt werden, die USB-Geräte einschränken.

Malware stellt ein größeres Risiko für die Unternehmens-IT dar, da infizierte Geräte Malware auf allen neu verbundenen Netzwerklaufwerken installieren, nicht jedoch auf Laufwerken, die zum Zeitpunkt der Infektion bereits mit einem Gerät verbunden waren.

Der Prüfpunkt geht davon aus, dass die Ausbreitung auf neu verbundene Netzlaufwerke unbeabsichtigt ist.

„Obwohl auf diese Weise infizierte Netzwerklaufwerke theoretisch als Mittel zur seitlichen Bewegung innerhalb desselben Netzwerks verwendet werden könnten, scheint dieses Verhalten eher ein Fehler als eine beabsichtigte Funktion zu sein“, schreiben die Forscher. „Viele Dateien zu manipulieren und durch eine ausführbare Datei mit einem USB-Stick-Symbol auf Netzwerklaufwerken zu ersetzen, ist eine offensichtliche Aktivität, die zusätzliche ungünstige Aufmerksamkeit erregen kann.“

Und wir alle wissen, dass Cyberkriminelle versuchen, so lange wie möglich unauffällig zu bleiben, damit ihr böser Code seine böse Arbeit verrichten kann.

Wenn dieser Code ausgeführt wird, installiert er eine Hintertür und versucht, die Daten herauszubekommen. Dies macht die scheinbar zufällige Infektion des Netzwerkspeichers ziemlich gefährlich – in vielen Institutionen, in denen die guten Dinge gespeichert sind.

Ein weiteres unangenehmes Merkmal dieser Malware ist, dass sie „auch DLLs mit Sicherheitssoftwarekomponenten wie G-DATA Total Security und zwei großen Spielefirmen (Electronic Arts und Riot Games) nachlädt“. Checkpoint hat die Spieleentwickler über ihre unwissentliche Rolle bei den Plänen für den Camaro Dragon informiert.

Checkpoint schreibt, dass man das vom USB getragene Symbol in Myanmar, Südkorea, Großbritannien, Indien und Russland gesehen habe.

„Die Häufigkeit und Art von Angriffen mit sich selbst verbreitender USB-Schadsoftware zeigt, dass Schutz vor ihnen geboten ist, selbst für Organisationen, die möglicherweise nicht direkte Ziele solcher Kampagnen sind“, rät das Unternehmen. ®