Usb-malware gebruikt unicode-karakter om bestanden te verbergen

[Captain Kirk]

Onderzoekers waarschuwen voor een variant van de PlugX-malware die een bepaald unicode-karakter gebruikt om bestanden in een "onzichtbare" map op te slaan, zodat de malware en gestolen data niet eenvoudig zijn te ontdekken. Dat meldt securitybedrijf Palo Alto Networks. De PlugX-malware bestaat al vele jaren en wordt onder andere ingezet voor datadiefstal en spionage. Een nieuwe variant verspreidt zich via usb-sticks, infecteert vanaf het besmette systeem nieuw aangesloten usb-sticks en verzamelt alle Word- en pdf-bestanden van het systeem.

De PlugX-malware maakt op een besmette usb-stick gebruik van het unicode-karakter "00A0" (non-breaking space) om een verborgen map aan te maken, waarin de malware zich bevindt. Door het gebruik van het unicode-karakter kan Windows de directorynaam niet weergeven en verbergt vervolgens de gehele map. Vervolgens wordt in de root van de usb-stick een lnk-bestand aangemaakt die naar de malware in de verborgen map wijst. Zodra een gebruiker het lnk-bestand opent wordt het systeem met de PlugX-malware geïnfecteerd.

De malware wacht nu totdat andere usb-sticks worden aangesloten, zodat het die kan infecteren. Daarbij worden alle oorspronkelijke bestanden en mappen in de root van de betreffende usb-stick naar de verborgen directory gekopieerd. Bij een besmette usb-stick bevindt zich in de root alleen het lnk-bestand. Het openen van het lnk-bestand zorgt niet alleen voor een besmet systeem, maar laat ook de oorspronkelijke mappen en bestanden van de root-directory zien, waardoor gebruikers niets door hebben, aldus onderzoekers van Palo Alto Networks.

Naast het infecteren van nieuw aangesloten usb-sticks verzamelt de PlugX-malware ook alle pdf- en Word-bestanden op het systeem en kopieert die naar de verborgen map op de usb-stick. Volgens de onderzoekers laat de nieuwe PlugX-variant zien dat de ontwikkeling van de malware nog steeds gaande is en zo een actieve dreiging blijft.

 

bron: https://www.security.nl