Стало известно о появлении особо опасного троянца, распространяемого только через внешние USB-накопители. Новая угроза была обнаружена командой ESET и получила название USB Thief. Зловред привязывается к определенному USB-устройству и при его подключении к целевой машине быстро и незаметно крадет данные.

Троянец не распознается антивирусными программами и устойчив к обратному инжинирингу: в нем реализована сложная многоуровневая схема шифрования, использующая особенности записи на определенных типах накопителей. Кроме того, он не оставляет никаких следов своей активности на скомпрометированной машине.

Эксперты склоняются к версии, что этот штамм зловреда был создан специально для целевых атак на системы, не подключенные к Интернету; зачастую это компьютеры на объектах критической инфраструктуры, которым закрыт выход в Интернет из соображений безопасности.

Конфигурация троянца включает в себя информацию о том, какие именно данные нужно «слить», каким образом зашифровать и где сохранить. Скорее всего, отметили исследователи, украденные файлы могут быть записаны на тот же накопитель, что был изначально использован для заражения. То есть злоумышленник может вставить флешку с троянцем в нужный компьютер и через некоторое время забрать ее вместе со всеми похищенными данными.

Троянец использует проверенную тактику, чтобы заставить пользователя запустить вредоносную программу: он принимает вид плагина или файла Autorun. При исполнении портативных версий приложений вроде Firefox или TrueCryp зловред встраивает свой код в цепочку команд в формате плагина или DLL-библиотеки и при старте приложения запускается в фоновом режиме.

«Данный метод распространения вредоносного ПО довольно необычен, но тем не менее опасен для пользователей. Людям пора напомнить об угрозе, которую могут нести USB-флешки неопределенного или подозрительного происхождения», — сказал аналитик ESET Томаш Гардонь (Tomáš Gardoň).

Категории: Аналитика, Вредоносные программы, Главное