Die längst verstaubt geglaubte Masche des „Ich lasse mal einen USB-Stick mit Schadsoftware auf Parkplätzen zum Mitnehmen herumliegen“ wurde tatsächlich noch einmal aus der Cybercrime-Kiste geholt. 16.000 Kilometer voneinander entfernt treten die derzeitigen Ausbrüche einer neuen Art des PlugX-USB-Wurms auf. Die Verbreitung über eine derartig große Distanz ist sehr ungewöhnlich.
Die neue Version, die Sophos X-Ops entdeckt hat, verbreitet sich über USB-Laufwerke und nutzt eine legitime ausführbare Datei, die sie in das Zielnetzwerk einschleust. Anschließend versteckt sie sich in einem gefälschten Verzeichnis namens „RECYLER.BIN“, das dank einer zusätzlichen Verschleierung durch die Cyberkriminellen von Windows mit dem echten Windows-Papierkorb assoziiert wird. Der Wurm kopiert dann Dateien aus dem infizierten Netzwerk auf das USB-Laufwerk.
Bereits im letzten Jahr hatte Sophos eine Anhäufung dieser Aktivität bemerkt. Der Wurm PlugX treibt seit mindestes 2008 sein Unwesen, sein Ursprung wird in der Sicherheitsszene übereinstimmend der Hacker-Gruppierung MustangPanda zugeordnet, eine Angreiferbande die mit chinesischer, staatlich geförderten Cyberspionage-Aktivität in Verbindung gebracht wird.
Gabor Szappanos von Sophos über das Revival des USB-Wurms: „Im November vergangenen Jahres berichteten wir über verschiedene Verdichtungen aktiver feindlicher Aktivitäten gegen Regierungseinrichtungen in Südostasien, die sich ebenfalls dieser Retro-Methode via USB-Laufwerke bedienten. Der Wurm tauchte schließlich einen Monat später Tausende von Kilometern entfernt in Afrika auf. Nun umfasst diese erneute Anhäufung von USB-Wurm-Aktivitäten drei Kontinente. Im Vergleich zu internetbasierten Attacken halten wir Wechselmedien nicht für besonders mobil, aber diese Verbreitungsmethode hat sich in diesen Teilen der Welt als sehr effektiv erwiesen. Es existieren zahlreiche Akteure mit sehr unterschiedlichen Interessen, die sich der Vorteile eines USB-Sticks bedienen, uns scheint hier aber vor allem die Gruppierung MustangPanda der Drahtzieher zu sein. Ein Comeback des USB-Wurms auszurufen ist vielleicht zu früh, aber es ist ganz sicher keine ausgediente Technik von vor zehn oder zwanzig Jahren. Einige bekannte Bedrohungsakteure setzen weiterhin auf die Vorteile von USB, um ihre Schadsoftware zu verbreiten.“
Sie erlauben eine Remotecodeausführung. Betroffen sind alle unterstützten Versionen von Adobe Reader und Acrobat für…
Betroffen sind Chrome für Windows, macOS und Linux. Das von den Anfälligkeiten ausgehende Risiko stuft…
Der Gerichtshof der Europäischen Union entscheidet „endgültig“ über den Rechtsstreit. Dem Urteil zufolge sind von…
Sie betrifft ältere Versionen von Windows 10. Ein weiterer kritischer Bug steckt aber auch in…
Der Downloader nimmt Windows-Rechner ins Visier. RansomHub festigt seine Position als führende Ransomware-Gruppe weltweit.
Britische Bestattungsunternehmen haben bereits reagiert und weisen darauf hin, dass ihre Beerdigungen nicht gelivestreamt werden.