PlugX-Malware versteckt sich auf USB-Sticks und infiziert Windows

Sicherheitsforscher sind auf einen Trojaner gestoßen, der auch Offline-PCs infizieren kann, indem er sich wurmartig über USB-Speichergeräte weiterverbreitet.

In Pocket speichern vorlesen Druckansicht 131 Kommentare lesen

(Bild: Skorzewiak/Shutterstock.com)

Update
Lesezeit: 2 Min.

Einen auf der Straße gefundenen USB-Stick sollte man aus Sicherheitsgründen besser nicht am eigenen Computer anschließen. Das haben Sicherheitsforscher von Unit 42 (Palo Alto Networks) nun abermals bekräftigt, als sie auf die USB-Stick infizierende Malware PlugX gestoßen sind.

Macht sich PlugX auf einem Windows-PC breit, soll er automatisch angeschlossene USB-Datenträger befallen und sich so den Weg auf weitere Computer ebnen. Dem Bericht der Forscher zufolge gibt es die Malware bereits seit über einem Jahrzehnt und sie soll unter anderem 2015 bei Cyberattacken auf die US-Regierung zum Einsatz gekommen sein.

Jetzt ist PlugX in zwei Varianten erneut aufgetaucht. Ziel des Trojaners ist es, mit eigentlich legitimen Anwendungen Schadcode via DLL-Side-Loading auszuführen. Die zweite Variante soll PDF- und Word-Dokumente kopieren.

Um Systeme zu infizieren, soll PlugX vertrauenswürdige und digital signierte Software kapern. Im aktuellen Fall soll das mittels des Open-Source-Debugging-Tools für Windows x64dbg geschehen. Die Malware soll sich beim DLL-Ladeprozess mit der mit Schadcode versehenen Datei X32bridge.dat einklinken. Derzeit sollen beim Onlineanalysedienst VirusTotal lediglich neun von 60 Scannern auf die Datei anspringen.

Nach der Infektion soll der Trojaner zur weiteren Verbreitung angeschlossene USB-Datenträger infizieren und sich darauf verstecken. Dafür nutzt die Malware unter anderem versteckte Ordner, die Windows standardmäßig nicht anzeigt.

Die Drahtzieher der Kampagne setzen aber noch auf einen weiteren Trick zur Tarnung: Sie nutzen bestimmte Unicode-Zeichen, die den Windows Explorer daran hindern, die Daten auf dem USB-Stick anzuzeigen, selbst wenn man die Option zum Anzeigen von versteckten Dateien unter Windows aktiviert.

Das einzige, was Opfer auf dem Stick sehen, ist eine Verknüpfung zur Malware namens TESTDRIVE und ihre eigenen auf dem Stick gespeicherten Daten. Erst mit einem Unix-System wird die komplette Datenstruktur sichtbar, führen die Forscher aus.

Klickt nun ein Opfer im Explorer auf die Windows-Verknüpfungsdatei namens TESTDRIVE, die wie ein USB-Speichergerät-Icon aussieht, öffnet es nicht nur den Datenträger und sieht die darauf gespeicherten Dateien, sondern führt auch unwissentlich die Malware aus und treibt die Verbreitung voran.

Durch die automatische Malware-Installation auf angeschlossenen USB-Datenträgern könnte sich PlugX auf diesem Weg auch auf vom Internet abgetrennte Systeme (Air Gap) in etwa kritischen Infrastrukturen schleichen.

Update

Verbreitung der Malware im Text weiter ausgeführt.

(des)