USB флашките крият огромен риск за сигурността, бидейки носители на вируси
(снимка: CC0 Public Domain)
Вирус под името WispRider активно се разпространява на компютрите по целия свят, алармираха експерти по ИТ сигурност. Заразяването става чрез USB устройства, уточняват от компанията Check Point Research.
Зад кибератаката стои хакерската група Camaro Dragon, известна още като Mustang Panda, Luminous Moth и Bronze President. Специалистите по сигурността я свързват с Китай.
Твърди се, че първото заразяване с новия вирус е станало на международна конференция в Азия. Един от участниците в събитието, определян като „нулев пациент“, е предал своята USB флашка на друг участник, за да копира презентационен файл, но компютърът на последния е бил заразен и устройството е върнато на собственика вече инфектирано.
Връщайки се в Европа, „нулевият пациент“ поставил флашката в компютър на лечебно заведение, което довело до заразяване на цялата болнична мрежа.
Основната функция на вируса WispRider е да предостави на хакерите достъп до компютъра на жертвата. Той е засечен за първи път от специалистите на Avast в края на миналата година, но оттогава тридоби нови функции.
Вирусът се разпространява чрез USB устройства с помощта на програмата за автоматично стартиране HopperTick, като същевременно остава невидим за популярния южноазиатски антивирус SmadAV. Зловредният софтуер зарежда DLL файл, използвайки компоненти на антивирусната програма G-DATA Total Security, както и продукти на разработчиците на игри Electronic Arts и Riot Games.
Изследователите от Check Point Research вече са уведомили въпросните компании за проблема. Вирусът също така изтегля бекдор TinyNote, написан на Go, и злонамерен фърмуер на рутера HorseShell.
Когато USB флашка се постави в заразен компютър, вирусът я открива и създава няколко скрити папки в основната директория на USB устройството. След това той копира буутлоудъра на Delphi с името на това устройство и неговата стандартна икона.
От техническа гледна точка не се случва нищо извънредно – това е обичаен сценарий, а разпространението на вируса се дължи основно на човешкия фактор. Вместо своите файлове на диска, жертвите виждат изпълним файл, който те стартират непринудено и по този начин заразяват машината си.
WispRider действа едновременно като модул за заразяване и бекдор за достъп до файловете на потребителя, като зарежда DLL, който изпълнява и двете функции – от заразената машина стартира злонамерена активност и ако това все още не се е случило, тогава извършва същинското заразяване. Вирусът се разпространява и върху наличните мрежови ресурси.
За предпазване от епидемията WispRider, експертите предлагат следните мерки за сигурност:
- Образовайте служителите в предприятията, като повишите осведомеността им за потенциалната заплаха, която представляват USB устройствата от неизвестни или ненадеждни източници.
- Строго и ясно регламентирайте правилата за свързване на USB устройства към корпоративната мрежа – до забраната за използването им, ако не са получени от надеждни източници.
- Намерете сигурни алтернативи на USB устройствата, като облачно съхранение и криптирани платформи за споделяне на файлове – това ще намали зависимостта от външни устройства и частично ще неутрализира рисковете, свързани с тях.
- Поддържайте антивирусен и друг защитен софтуер актуален на всички компютри и периодично сканирайте USB устройства за злонамерен софтуер.
хах, такива изпълнения имаше и преди 15 години