{"id":595391,"date":"2023-01-27T13:09:44","date_gmt":"2023-01-27T13:09:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/investigadores-descubren-nueva-variante-de-malware-plugx-que-se-propaga-a-traves-de-dispositivos-usb-extraibles\/"},"modified":"2023-01-27T13:09:46","modified_gmt":"2023-01-27T13:09:46","slug":"investigadores-descubren-nueva-variante-de-malware-plugx-que-se-propaga-a-traves-de-dispositivos-usb-extraibles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/investigadores-descubren-nueva-variante-de-malware-plugx-que-se-propaga-a-traves-de-dispositivos-usb-extraibles\/","title":{"rendered":"Investigadores descubren nueva variante de malware PlugX que se propaga a trav\u00e9s de dispositivos USB extra\u00edbles"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>27 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Seguridad de punto final\/malware<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Los investigadores de seguridad cibern\u00e9tica han descubierto una muestra de PlugX que emplea m\u00e9todos enga\u00f1osos para infectar dispositivos de medios USB extra\u00edbles adjuntos con el fin de propagar el malware a sistemas adicionales.<\/p>\n

“Esta variante de PlugX es compatible con gusanos e infecta dispositivos USB de tal manera que se oculta del sistema de archivos operativo de Windows”, los investigadores de la Unidad 42 de Palo Alto Networks, Mike Harbison y Jen Miller-Osborn. dicho<\/a>. “Un usuario no sabr\u00eda que su dispositivo USB est\u00e1 infectado o posiblemente se usa para extraer datos de sus redes”.<\/p>\n

La compa\u00f1\u00eda de ciberseguridad dijo que descubri\u00f3 el artefacto durante un esfuerzo de respuesta a incidentes luego de un ataque de ransomware Black Basta contra una v\u00edctima no identificada. Entre otras herramientas descubiertas en el entorno comprometido se incluyen el cargador de malware Gootkit y el marco del equipo rojo Brute Ratel C4.<\/p>\n

Trend Micro destac\u00f3 previamente el uso de Brute Ratel por parte del grupo Black Basta en octubre de 2022, con el software entregado como una carga \u00fatil de segunda etapa por medio de una campa\u00f1a de phishing de Qakbot. Desde entonces, la cadena de ataque se ha utilizado contra un gran equipo regional de energ\u00eda con sede en el sureste de los EE. UU., seg\u00fan Seguridad del cuadrante<\/a>.<\/p>\n

Sin embargo, no hay evidencia que vincule a PlugX, una puerta trasera ampliamente compartida entre varios grupos de estados-naciones chinos, o Gootkit con la pandilla de ransomware Black Basta, lo que sugiere que puede haber sido implementado por otros actores.<\/p>\n

La variante USB de PlugX se destaca por el hecho de que usa un car\u00e1cter Unicode particular llamado espacio de no interrupci\u00f3n (U+00A0<\/a>) para ocultar archivos en un dispositivo USB conectado a una estaci\u00f3n de trabajo.<\/p>\n

“El car\u00e1cter de espacio en blanco evita que el sistema operativo Windows represente el nombre del directorio, ocult\u00e1ndolo en lugar de dejar una carpeta sin nombre en el Explorador”, dijeron los investigadores, explicando la t\u00e9cnica novedosa.<\/p>\n

En \u00faltima instancia, se utiliza un archivo de acceso directo de Windows (.LNK) creado en la carpeta ra\u00edz de la unidad flash para ejecutar el malware desde el directorio oculto. La muestra de PlugX no solo tiene la tarea de implantar el malware en el host, sino tambi\u00e9n de copiarlo en cualquier dispositivo extra\u00edble que pueda estar conectado camufl\u00e1ndolo dentro de una carpeta de papelera de reciclaje.<\/p>\n

\"Software<\/div>\n

El archivo de acceso directo, por su parte, lleva el mismo nombre que el del dispositivo USB y aparece como un icono de unidad, con los archivos o directorios existentes en la ra\u00edz del dispositivo extra\u00edble movidos a una carpeta oculta creada dentro de la carpeta “acceso directo”. .<\/p>\n

“Cada vez que se hace clic en el archivo de acceso directo del dispositivo USB infectado, el malware PlugX inicia el Explorador de Windows y pasa la ruta del directorio como par\u00e1metro”, dijo Unit 42. “Esto luego muestra los archivos en el dispositivo USB desde dentro de los directorios ocultos y tambi\u00e9n infecta el host con el malware PlugX”.<\/p>\n

La t\u00e9cnica se basa en el hecho de que Windows File Explorer (anteriormente Windows Explorer) por defecto no muestra elementos ocultos<\/a>. Pero el giro inteligente aqu\u00ed es que los archivos maliciosos dentro de la llamada papelera de reciclaje no se muestran cuando la configuraci\u00f3n est\u00e1 habilitada.<\/p>\n

Esto significa que los archivos falsos solo se pueden ver en un sistema operativo similar a Unix como Ubuntu o montando el dispositivo USB en una herramienta forense.<\/p>\n

“Una vez que se descubre e infecta un dispositivo USB, todos los archivos nuevos escritos en la carpeta ra\u00edz del dispositivo USB despu\u00e9s de la infecci\u00f3n se mueven a la carpeta oculta dentro del dispositivo USB”, dijeron los investigadores. “Dado que el archivo de acceso directo de Windows se parece al de un dispositivo USB y el malware muestra los archivos de la v\u00edctima, sin saberlo, contin\u00faan propagando el malware PlugX”.<\/p>\n

Unit 42 dijo que tambi\u00e9n descubri\u00f3 una segunda variante de PlugX que, adem\u00e1s de infectar dispositivos USB, copia todos los archivos Adobe PDF y Microsoft Word del host a otra carpeta oculta en el dispositivo USB creada por el malware.<\/p>\n

El uso de unidades USB como medio para filtrar archivos espec\u00edficos de inter\u00e9s de sus objetivos indica un intento por parte de los actores de amenazas de saltar sobre las redes abiertas.<\/p>\n

Con el \u00faltimo desarrollo, PlugX se une a las filas de otras familias de malware como ANDROMEDA y Raspberry Robin que han agregado la capacidad de propagarse a trav\u00e9s de unidades USB infectadas.<\/p>\n

“El descubrimiento de estas muestras indica que el desarrollo de PlugX todav\u00eda est\u00e1 vivo y bien entre al menos algunos atacantes t\u00e9cnicamente capacitados, y sigue siendo una amenaza activa”, concluyeron los investigadores.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n