La herramienta Win32/USBStealer imita un programa ruso
legítimo llamado USB Disk Security para monitorizar la inserción de unidades
externas extraíbles y así infectar el PC.
Los investigadores de ESET han descubierto nuevas
actividades del grupo de ciberespionaje Sednit, que ha estado principalmente
dedicado a actividades de ataque a varias instituciones del Este de Europa.
ESET informa que Sednit
ataca PCs no conectados a Internet utilizando Win32/USBStealer, herramienta que permite
llevar a cabo este tipo de actividades utilizando dispositivos USB.
La herramienta Win32/USBStealer estaba llevando a cabo
ataques físicos a ordenadores aislados para conseguir el acceso a archivos
específicos. De acuerdo a los investigadores de ESET, Sednit ha estado
utilizando esta herramienta en los últimos diez años con varios niveles
diferentes de complejidad.
En este caso, la infección se distribuye desde un PC
inicial con conexión a Internet (PC “A”) a otro ordenador objetivo (PC “B”)
utilizando el puerto USB. “El PC A se infecta inicialmente con la herramienta
Win32/USBStealer e intenta imitar un programa ruso legítimo llamado USB Disk
Security para monitorizar la inserción de unidades externas extraíbles“,
explica Joan Calvet, investigador de ESET.
Cuando un dispositivo USB se inserta, el programa
descifra dos de sus recursos en memoria. El primero deposita el programa
Win32/USBStealer en la unidad extraíble con el nombre“USBGuard.exe”. El segundo
recurso es un archivo AUTORUN.INF que, tras haber infectado el dispositivo USB,
permite que al insertar este en la computadora objetivo, se autoejecute y
acceda, de esta manera, a ficheros específicos que estaban aislados de la red.
“Los nombres de los ficheros que buscan en el proceso de extracción automática
indica que tienen un conocimiento muy preciso de sus objetivos“, añade Joan
Calvet.
En los últimos meses, el grupo de ciberespionaje Sednit
ha sido responsable de varios actos de ciberespionaje. El pasado mes, ESET
descubrió que el grupo estaba llevando a cabo la explotación de agujeros de
seguridad utilizando un kit personalizado, y solo tres semanas antes tanto
Trend Micro como Fire Eye publicaron sendos reportes sobre la creciente
actividad de este grupo en la región del Este de Europa, que llamaron Operation
Pawn Storm y APT28, respectivamente.
Más información
- Blog
de Laboratorio de ESET España http://blogs.protegerse.com/laboratorio/