Los investigadores de ciberseguridad han descubierto una muestra de PlugX que emplea métodos furtivos para infectar dispositivos de medios USB extraíbles conectados con el fin de propagar el malware a sistemas adicionales.
“Esta variante de PlugX es gusano e infecta dispositivos USB de tal manera que se oculta del sistema de archivos operativo Windows”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Mike Harbison y Jen Miller-Osborn. “Un usuario no sabría que su dispositivo USB está infectado o posiblemente utilizado para filtrar datos de sus redes”.
La compañía de ciberseguridad dijo que descubrió el artefacto durante un esfuerzo de respuesta a incidentes después de un ataque de ransomware Black Basta contra una víctima no identificada. Entre otras herramientas descubiertas en el entorno comprometido se incluyen el cargador de malware Gootkit y el marco de equipo rojo Brute Ratel C4.
El uso de Brute Ratel por parte del grupo Black Basta fue destacado previamente por Trend Micro en octubre de 2022, con el software entregado como una carga útil de segunda etapa mediante una campaña de phishing Qakbot. Desde entonces, la cadena de ataque se ha utilizado contra un gran equipo de energía regional con sede en el sureste de los Estados Unidos, según Quadrant Security.
Sin embargo, no hay evidencia que vincule a PlugX, una puerta trasera ampliamente compartida entre varios grupos de estados-nación chinos, o Gootkit con la pandilla de ransomware Black Basta, lo que sugiere que puede haber sido desplegado por otros actores.
La variante USB de PlugX es notable por el hecho de que utiliza un carácter Unicode particular llamado espacio de no ruptura (U + 00A0) para ocultar archivos en un dispositivo USB conectado a una estación de trabajo.
“El carácter de espacio en blanco evita que el sistema operativo Windows represente el nombre del directorio, ocultándolo en lugar de dejar una carpeta sin nombre en Explorer”, dijeron los investigadores, explicando la novedosa técnica.
En última instancia, un acceso directo de Windows (. LNK) creado en la carpeta raíz de la unidad flash se utiliza para ejecutar el malware desde el directorio oculto. La muestra de PlugX no solo tiene la tarea de implantar el malware en el host, sino también copiarlo en cualquier dispositivo extraíble que pueda estar conectado a él camuflándolo dentro de una carpeta de papelera de reciclaje.
El archivo de acceso directo, por su parte, lleva el mismo nombre que el del dispositivo USB y aparece como un icono de unidad, con los archivos o directorios existentes en la raíz del dispositivo extraíble movidos a una carpeta oculta creada dentro de la carpeta “acceso directo”.
“Cada vez que se hace clic en el archivo de acceso directo del dispositivo USB infectado, el malware PlugX inicia el Explorador de Windows y pasa la ruta del directorio como parámetro”, dijo Unit 42. “Esto muestra los archivos en el dispositivo USB desde los directorios ocultos y también infecta el host con el malware PlugX”.
La técnica se basa en el hecho de que el Explorador de archivos de Windows (anteriormente Explorador de Windows) de forma predeterminada no muestra elementos ocultos. Pero el giro inteligente aquí es que los archivos maliciosos dentro de la llamada papelera de reciclaje no se muestran cuando se tiene la configuración habilitada.
Esto significa efectivamente que los archivos maliciosos solo se pueden ver en un sistema operativo similar a Unix como Ubuntu o montando el dispositivo USB en una herramienta forense.
“Una vez que se descubre e infecta un dispositivo USB, cualquier archivo nuevo escrito en la carpeta raíz del dispositivo USB después de la infección se mueve a la carpeta oculta dentro del dispositivo USB”, dijeron los investigadores. “Dado que el archivo de acceso directo de Windows se asemeja al de un dispositivo USB y el malware muestra los archivos de la víctima, sin saberlo, continúan propagando el malware PlugX”.
La Unidad 42 dijo que también descubrió una segunda variante de PlugX que, además de infectar dispositivos USB, copia todos los archivos Adobe PDF y Microsoft Word del host a otra carpeta oculta en el dispositivo USB creada por el malware.
El uso de unidades USB como un medio para filtrar archivos específicos de interés de sus objetivos indica un intento por parte de los actores de amenazas de saltar sobre redes con espacios de aire.
Con el último desarrollo, PlugX se une a las filas de otras familias de malware como ANDROMEDA y Raspberry Robin que han agregado la capacidad de propagarse a través de unidades USB infectadas.
“El descubrimiento de estas muestras indica que el desarrollo de PlugX todavía está vivo y bien entre al menos algunos atacantes técnicamente hábiles, y sigue siendo una amenaza activa”, concluyeron los investigadores.
