資安研究人員發現新版 PlugX 惡意軟體,會藏於 USB 裝置內感染 Windows 系統
- 發布單位:TWCERT/CC
- 更新日期:2023-01-31
- 點閱次數:8340
全球大型網通裝置廠商 Palo Alto Network 旗下資安研究單位 Unit 42 的資安研究人員,近期分析發現多種新版 PlugX 惡意軟體,會藏身在 USB 裝置中,並在連接到 Windows 主機時伺機感染,並竊取電腦上的機敏檔案,複製到 USB 裝置中。
據 Unit 42 的專家指出,PlugX 雖然是一個十分老舊的惡意軟體,出自 2008 年時一個駭侵團體之手,當時就已遭資安研究人員發現,但多年以來許多其他駭侵團體以其為基礎不斷改版,因此變得更加不易偵測。
在 Unit 42 近期發現的一個案例中,駭侵者在 PlugX 中使用一個常見的 Windows 除錯工具 x64dbg.exe 32 位元版本加上一個惡意修改版本 x32bridge.dll,用來載入 PlugX 惡意程式碼 x32bridge.dat。
研究人員也指出,他們觀察到的新版 PlugX 會利用一個 Unicode 字元,在系統偵測到的 USB 儲存裝置中新增一個資料匣,而該資料夾無法顯示在 Windows Explorer 與命令列模式中(但可在 Linux 中顯示出來);接著該惡意軟體在該「隱藏」資料匣中新增一個 desktop.ini 檔,並以一個 USB 儲存裝置的圖示來顯示以騙過用戶,並把惡意軟體檔檔案放在一個名為「RECYCLER.BIN」的子目錄中以騙過用戶。
當用戶點按該 USB 裝置圖示,就會透過 cmd.exe 來執行 x32.exe,這樣即會讓 Windows 主機感染 PlugX 惡意軟體;之後如果有新的 USB 儲存裝置插上該電腦,該裝置也會被 PlugX 惡意軟體潛入安裝。