Malware PlugX infiziert USB-Geräte

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher der Unit 42 von Palo Alto Networks haben Cyberangriffe mit neuer Variante der altbekannten Schadsoftware beobachtet. Die mutmaßlich aus China stammende PlugX-Malware ist aufgefallen, weil diese Variante alle angeschlossenen USB-Wechselmediengeräte wie Disketten-, Daumen- oder Flash-Laufwerke sowie alle weiteren Systeme infiziert, an die der USB-Stick später angeschlossen wird.


Anzeige

Palo Alto Networks Unit 42 hat diese Woche eine Untersuchung von Tools veröffentlicht, die das Team bei der Reaktion auf einen Ransomware-Angriff durch die Hacker-Gruppe Black Basta beobachtete. Bei der Untersuchung identifizierte Palo Alto Networks mehrere Tools auf den Rechnern der Opfer, die von Interesse waren. Darunter befindet sich auch  die GootLoader-Malware, das Red-Teaming-Tool Brute Ratel C4 und ein älteres PlugX-Malware-Sample.

Die PlugX-Malware

Die PlugX-Malware stach Unit 42 besonders ins Auge, da diese Variante alle angeschlossenen USB-Wechselmediengeräte wie Disketten-, Thumb- oder Flash-Laufwerke sowie alle weiteren Systeme infiziert, an die das USB-Gerät später angeschlossen wird. Zu den Highlights der aktuellen Untersuchung gehören:

  • Diese PlugX-Variante ist wurmfähig und infiziert USB-Geräte so, dass sie sich vor dem Windows-Dateisystem verbirgt. Ein Benutzer würde nicht wissen, dass sein USB-Gerät infiziert ist und möglicherweise zur Datenexfiltration aus dem Netzwerk verwendet wird.
  • Die PlugX-Malware-Variante, die bei diesem Angriff verwendet wurde, infiziert alle angeschlossenen USB-Wechselmediengeräte wie Disketten-, Thumb- oder Flash-Laufwerke sowie alle weiteren Systeme, an die das USB-Gerät später angeschlossen wird.
  • Unit 42 entdeckte in VirusTotal eine ähnliche Variante von PlugX, die USB-Geräte infiziert und alle Adobe PDF- und Microsoft Word-Dateien vom Host kopiert. Diese Kopien werden in einem versteckten Ordner auf dem USB-Gerät abgelegt, der von der Malware erstellt wird.
  • PlugX ist ein Second-Stage-Implantat, das nicht nur einige Gruppen mit chinesischem Hintergrund, sondern auch mehrere cyberkriminelle Gruppen verwenden. Es ist seit über einem Jahrzehnt im Umlauf und wurde bei einigen hochkarätigen Cyberangriffen beobachtet, darunter das Eindringen in das Office of Personnel Management (OPM) der US-Regierung im Jahr 2015.
  • Jeder Host, der mit dieser Variante der PlugX-Malware infiziert ist, sucht ständig nach neuen USB-Wechselmedien, die er infizieren kann. Diese PlugX-Malware versteckt außerdem Angreiferdateien in einem USB-Gerät mit einer neuartigen Technik, die dafür sorgt, dass die bösartigen Dateien nur auf einem *nix-Betriebssystem oder durch Einbinden des USB-Geräts in ein forensisches Tool angezeigt werden können. Aufgrund dieser Fähigkeit, sich der Erkennung zu entziehen, kann sich die PlugX-Malware weiter ausbreiten und potenziell in abgehörte Netzwerke eindringen.
  • Bei dem in diesem Fall verwendeten Brute Ratel C4 handelt es sich um dieselbe Badger-Payload (Implantat), über die Trend Micro bereits berichtet hat und die auch die Ransomware-Gruppe Black Basta betrifft.

Details zum Thema lassen sich im Blog-Beitrag Chinese PlugX Malware Hidden in Your USB Devices? nachlesen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Malware PlugX infiziert USB-Geräte

  1. Dolly sagt:

    > PlugX .. seit über einem Jahrzehnt im Umlauf

    Das zeigt, dass die dafür verwendete(n) Schwachstelle(n) nicht geschlossen werden sollen/dürfen, womöglich da sie von vielen Parteien für ganz unterschiedlichr Zwecke genutzt werden?

    • DiamantHut sagt:

      Achtung! Es ist lediglich der Name einer Malware-Familie.
      Natürlich sind die alten Lücken geschlossen.

      Das es weiterhin so heißt dient der Zuweisung an die Gruppierung die diese Malware entwickelt.
      /Aluhut-ab

  2. Daniel sagt:

    @Günter Born

    Wenn ich das richtig verstehe infiziert die Malware nur Windowsrechner. Beim Einstecken infizierter USB-Geräte in Linux-PCs oder Macs passiert also nichts?

    • Stephan sagt:

      Auch unter Windows sollte kaum etwas passieren,
      da Windows schon jahre keine Autostart Funktion für USB Geräte mehr verwendet.
      Beim Einstecken des Gerätes Ploppt ein Fenster auf, was man mit dem Stick machen möchte.

      • Dolly sagt:

        Und im Hintergrund passiert offenbar noch mehr, siehe Beitrag:

        > sowie alle weiteren Systeme infiziert, an die der USB-Stick später angeschlossen wird

        • Stephan sagt:

          >Beim Einstecken infizierter USB-Geräte in Linux-PCs oder Macs passiert also nichts?

          Auch unter Windows sollte kaum etwas passieren,…..
          Beim Einstecken des Gerätes Ploppt ein Fenster auf, was man mit dem Stick machen möchte.

          Die Frage bezog sich vermutlich auf die Verbreitung und Infizierung eines Sauberen Systems.
          Und unter Windows sollte genau Nichts passieren.

          Ein Sauberes Windows Infiziert ohne Software keine USB Sticks und Startet diese auch nicht ohne grund.
          Nichtnur den Beitrag, auch die fragen richtig lesen. ;)

          • Dolly sagt:

            > Auch unter Windows sollte kaum etwas passieren,

            Es passiert aber etwas. Das war der Hinweis.

            Windows liest beim Anschliessen von USB Daten vom Gerät, lädt anhand der Daten Treiber für Speichermedium, Tastatur, Maus, sonstwas, und irgendwo in diesem Prozess hüpft PlugX über einen Exploit von USB auf den Rechner. Ganz unbemerkt, ganz im Hintergrund. Und schreibt sich und die "bösen" USB Daten auf alle weiteren Sticks, die da kommen.

            > Es werden weiteren Systeme infiziert, an die der USB-Stick später angeschlossen wird.

          • Stephan sagt:

            @Dolly

            Woher beziehst du deine Informationen?
            Es gibt keine Hinweise darauf, das die Malware sich beim Einstecken am Computer Aktiviert und geladen wird, sofern das System nicht schon Infiziert ist.

            Das im Hintergrund irgend etwas passiert, wie du schreibst, ist eigentlich nur eine Vermutung deinerseits.
            Auch die Behauptung, das die Malware sich beim Lesen der USB Informationen läd ist nicht richtig.
            Oder hast du einen Hinweis auf diese Bahnbrechende Technik gefunden?

            Ebenso konnte ich nirgends lesen, das es sich dabei um ein Rootkit handelt.

          • Dolly sagt:

            @Stephan Siehe Absatz "Die PlugX-Malware" im Artikeltext.

          • Stephan sagt:

            @Dolly

            Und wo steht im Absatz "Die PlugX-Malware" etwas von deinen Behauptungen ?

            Leider gibt es keinerlei Information über eine Infizierung durch bloßes Anstecken an einen PC.
            Kannst du mir eventuell die Passage hier näher zeigen

          • Dolly sagt:

            @Stephan

            > sowie alle weiteren Systeme infiziert, an die der USB-Stick später angeschlossen wird

          • Jonas sagt:

            @Stephan
            "PlugX […] infiziert […] alle weiteren Systeme, an die das USB-Gerät später angeschlossen wird."
            Ist doch ziemlich eindeutig, oder?

          • Stephan sagt:

            @Dolly und @Jonas

            Ich glaube, ihr solltet den Beitrag mal richtig lesen.

            Zitat Dolly
            "> sowie alle weiteren Systeme infiziert, an die der USB-Stick später angeschlossen wird"

            Wo steht da, das ein Windows durch bloßes anstecken des USB Sticks Infiziert wird?
            Da steht, das ein Infiziertes Windows System einen USB Stick Infiziert wenn diese angesteckt werden.

            Zitat Jonas
            "PlugX […] infiziert […] alle weiteren Systeme, an die das USB-Gerät später angeschlossen wird."
            Ist doch ziemlich eindeutig, oder?"

            Ja, das ist schon eindeutig.
            Die Malware Infiziert ein System vermutlich durch ausführen eines Programmes auf einem Infizierten USB Stick.

            Aber, da steht nicht, wie das System Infiziert wird.

            Mit keinem Wort wird ein Automatisches Infizieren beim Anstecken erwähnt.
            Auch in Artikeln anderer Blogs wird deine bzw. eure Behauptung nicht bestätigt.
            Es Handelt sich um den üblichen Infektionsweg durch Starten irgendwelcher Programme.

            Bisher gibt es noch keinen Exploit zur Hardwareerkennung eines USB Sticks in verbindung mit Schadsoftware.

            Also ziemlich eindeutig, das es keine Infektion einen Sauberen Windows durch das bloße Anstecken eines Infizierten USB Sticks gibt.

        • Paulo sagt:

          PlugX muss auf dem Windows System sein. Diese Malware infiziert – angeschlossene USB Geräte. Die Verzeichnisse und Daten werden versteckt angelegt. Nicht sichtbar durch den Windows Explorer. Die versteckten Verzeichnisse sind z.B. von Linux lesbar und sie werden angezeigt. Das ein infizierter Stick – andere Windows Systeme infizieren kann – ist aus dem Bericht von Palo Alto Networks nicht ersichtlich. Also PlugX > Stick. Palo Alto:" Jeder Host, der mit dieser Variante der PlugX-Malware infiziert ist, überwacht kontinuierlich, bis neue USB-Wechseldatenträger infiziert werden".

          • Stephan sagt:

            Zitat Paulo
            "Das ein infizierter Stick – andere Windows Systeme infizieren kann – ist aus dem Bericht von Palo Alto Networks nicht ersichtlich."

            Danke! Vielen Dank!
            Wenigsten einer hier, der den Beitrag Gelesen und Verstanden hat.
            Leider entstehen durch die freie Interpretation viele leute immer wieder Gerüchte über die Hammer Bösartige Schadsoftware die dein Komplette Haus Abbrennen lässt.
            Nur weil die Leute zu viel in irgendwelche Texte Interpretieren.

      • Paul sagt:

        Lange war es üblich dass das BIOS / UEFI versuchte vom USB zu starten. Das lehnen die Sticks mangels Bootbarkeit ab. Aber es war ja kein Muß.
        Ob das heute noch so ist weiß ich nicht. Es hat mich damals schon sehr gewundert.
        Da poppt kein Fenster auf weil noch gar kein Windows läuft.
        Das wird angebootet, das Teil legt sich auf die Lauer und kontrolliert den Start vom nächsten Datenträger.
        Sehen kann man das nur mit einem Hardware analyser.
        Das hat wahrscheinlich zu diesem Secure Boot geführt.

        • Stephan sagt:

          Wenn man sich die Frage von Daniel genau durchliest,
          kann man lesen, das es sich um eine Infizierung handelt.

          Ein Sauberes System läd oder Infiziert beim Booten keinen USB Stick.
          Somit ist alles im grünen bereich.

  3. Karl sagt:

    Der Artikel ist sprachlich schwer zu verstehen. Die Kommentare bringen mich da inhaltlich nicht weiter.
    > Ein Sauberes Windows Infiziert ohne Software keine USB Sticks
    Oxymoron?

    • Stephan sagt:

      Eigentlich nicht.
      Da hier mit "Software" die Malware PlugX gemeint ist.
      Hätte ja gehofft, das man das aus dem Kontext verstehen kann, aber da habe ich eventuell zu viel erwartet. ;)

      Wenn noch genügend Kommentare kommen, ist die Malware irgendwann soweit und kann vielleicht einen Ausgeschalteten Computer durch bloßes Angucken Infizieren.

      Es wird viel Interpretiert und Hinzu gedichtet, was nicht erwähnt wird, und man auch in anderen Quellen nicht lesen kann.

      Mal Abwarten!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.