image

Usb-malware gebruikt unicode-karakter om bestanden te verbergen

maandag 30 januari 2023, 12:38 door Redactie, 4 reacties

Onderzoekers waarschuwen voor een variant van de PlugX-malware die een bepaald unicode-karakter gebruikt om bestanden in een "onzichtbare" map op te slaan, zodat de malware en gestolen data niet eenvoudig zijn te ontdekken. Dat meldt securitybedrijf Palo Alto Networks. De PlugX-malware bestaat al vele jaren en wordt onder andere ingezet voor datadiefstal en spionage. Een nieuwe variant verspreidt zich via usb-sticks, infecteert vanaf het besmette systeem nieuw aangesloten usb-sticks en verzamelt alle Word- en pdf-bestanden van het systeem.

De PlugX-malware maakt op een besmette usb-stick gebruik van het unicode-karakter "00A0" (non-breaking space) om een verborgen map aan te maken, waarin de malware zich bevindt. Door het gebruik van het unicode-karakter kan Windows de directorynaam niet weergeven en verbergt vervolgens de gehele map. Vervolgens wordt in de root van de usb-stick een lnk-bestand aangemaakt die naar de malware in de verborgen map wijst. Zodra een gebruiker het lnk-bestand opent wordt het systeem met de PlugX-malware geïnfecteerd.

De malware wacht nu totdat andere usb-sticks worden aangesloten, zodat het die kan infecteren. Daarbij worden alle oorspronkelijke bestanden en mappen in de root van de betreffende usb-stick naar de verborgen directory gekopieerd. Bij een besmette usb-stick bevindt zich in de root alleen het lnk-bestand. Het openen van het lnk-bestand zorgt niet alleen voor een besmet systeem, maar laat ook de oorspronkelijke mappen en bestanden van de root-directory zien, waardoor gebruikers niets door hebben, aldus onderzoekers van Palo Alto Networks.

Naast het infecteren van nieuw aangesloten usb-sticks verzamelt de PlugX-malware ook alle pdf- en Word-bestanden op het systeem en kopieert die naar de verborgen map op de usb-stick. Volgens de onderzoekers laat de nieuwe PlugX-variant zien dat de ontwikkeling van de malware nog steeds gaande is en zo een actieve dreiging blijft.

Reacties (4)
30-01-2023, 13:23 door Anoniem
Grappig,deden we eind jaren 90 al om onze tooltjes te verbergen voor systeembeheer op school. Bijzonder dat dit nog steeds mogelijk is.
30-01-2023, 16:31 door Anoniem
Quote: "Naast het infecteren van nieuw aangesloten usb-sticks verzamelt de PlugX-malware ook alle pdf- en Word-bestanden op het systeem en kopieert die naar de verborgen map op de usb-stick."

Ik begrijp niet helemaal goed wat dit stuk malware nu voor kwaads doet. Als ik dit artikel lees dan is het ergste wat kan gebeuren is dat de besmette usb sticks vol lopen vanwege de verborgen kopie. (format erover en hij is weer zo fris als nieuw).

Het verzamelt .pdf en ms word documenten en plaatst dat in een verborgen directory. En dan?

Is dat nu echt alles wat dit stuk malware doet? Klinkt als iets wat net te vroeg in het wild losgelaten is. Ik zou verwachten dat het probeert om de verzamelde bestanden naar een centraal verzamelpunt op het internet te versturen of de bronbestanden te versleutelen.
30-01-2023, 16:37 door Anoniem
Door Anoniem: Grappig,deden we eind jaren 90 al om onze tooltjes te verbergen voor systeembeheer op school. Bijzonder dat dit nog steeds mogelijk is.

Dat was door het eerste teken van de bestandsnaam te vervangen door 0xE5 en dan vooral niets naar het opslagsysteem schrijven ;) De 0xE5 gaf dan aan dat de locatie (en de clusters die daarna verder verwijzen) vrij is om te overschrijven.

De UNICODE 00A0 is net een andere variant, maar het idee is gelijk.
31-01-2023, 07:30 door Anoniem
Hmm @16:37 de exacte code weet ik zo inderdaad niet uit mijn hoofd. Was in de tijd van sub7 en Novell Netware/Win NT. Je maakte er een folder mee welke dan verdween in de verkenner. Via de command prompt kon je er weer bij.

En uiteraard later nog wel eens NTFS alternate datastreams. Ik ben gelukkig nooit systeembeheerder geworden op een school haha.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.