按 Enter 到主內容區
:::

TWCERT-電子報

:::

資安研究人員發現新版 PlugX 惡意軟體,會藏於 USB 裝置內感染 Windows 系統

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-01-31
  • 點閱次數:147
資安研究人員發現新版 PlugX 惡意軟體,會藏於 USB 裝置內感染 Windows 系統 twcertcc

全球大型網通裝置廠商 Palo Alto Network 旗下資安研究單位 Unit 42 的資安研究人員,近期分析發現多種新版 PlugX 惡意軟體,會藏身在 USB 裝置中,並在連接到 Windows 主機時伺機感染,並竊取電腦上的機敏檔案,複製到 USB 裝置中。

據 Unit 42 的專家指出,PlugX 雖然是一個十分老舊的惡意軟體,出自 2008 年時一個駭侵團體之手,當時就已遭資安研究人員發現,但多年以來許多其他駭侵團體以其為基礎不斷改版,因此變得更加不易偵測。

在 Unit 42 近期發現的一個案例中,駭侵者在 PlugX 中使用一個常見的 Windows 除錯工具 x64dbg.exe 32 位元版本加上一個惡意修改版本 x32bridge.dll,用來載入 PlugX  惡意程式碼 x32bridge.dat。

研究人員也指出,他們觀察到的新版 PlugX 會利用一個 Unicode 字元,在系統偵測到的 USB 儲存裝置中新增一個資料匣,而該資料夾無法顯示在 Windows Explorer 與命令列模式中(但可在 Linux 中顯示出來);接著該惡意軟體在該「隱藏」資料匣中新增一個 desktop.ini 檔,並以一個 USB 儲存裝置的圖示來顯示以騙過用戶,並把惡意軟體檔檔案放在一個名為「RECYCLER.BIN」的子目錄中以騙過用戶。

當用戶點按該 USB 裝置圖示,就會透過 cmd.exe 來執行 x32.exe,這樣即會讓 Windows 主機感染 PlugX 惡意軟體;之後如果有新的 USB 儲存裝置插上該電腦,該裝置也會被 PlugX 惡意軟體潛入安裝。

回頁首