Il team di sicurezza di Mandiant ha recentemente comunicato di aver rilevato un incremento degli attacchi malware effettuati con chiavette USB a scopo di spionaggio. Si tratta di una tecnica che viene sfruttata in special modo per sistemi non connessi ad Internet.

Malware: diffusione via pendrive di Sogu e Snowydrive

Andando più nello specifico, per le due campagne più recenti sono stati utilizzati i malware Sogu e Snowydrive.

Per quel che riguarda Sogu, il target preso di mira sono le aziende che operano in diversi settori e si trovano in vari paesi, Italia compresa. Sulla chiavetta USB sono presenti tre file: un eseguibile legittimo, una DLL infetta e un payload cifrato. Collegando la pendrive al computer, l’eseguibile carica in memoria la DLL, ovvero il loader Korplug che a sua volta esegue il payload finale, la backdoor Sogu.

Per mantenere la persistenza viene aggiunta una chiave al registro di Windows e viene generata un’attività pianificata. Il malware cerca file PDF e generati con Office che vengono successivamente inviati al server C2 (command and control) in forma cifrata.

Nel caso di Snowydrive, invece, gli utenti presi di mira vengono convinti ad eseguire un file infetto apparentemente legittimo, dopodichè vengono copiati sul computer svariati file infetti con attività di persistenza (chiave nel registro), propagazione su altri drive USB, aggiramento dei controlli di sicurezza e download della backdoor.

Successivamente, la backdoor viene iniettata nel processo CUZ.exe del software legittimo CAM UnZip e si collega al server C2 per ricevere i comandi.

Ovviamente, il miglior sistema per evitare problemi è quello di limitare il collegamento delle chiavette USB al computer, in special modo nel caso di dispositivi estranei.