PlugX: Malware versteckt sich auf USB-Sticks, infiziert Windows-PCs

Eine neue Variante der Malware-Familie PlugX verbreitet sich nicht über E-Mail-Anhänge oder heruntergeladene Programme, sondern lässt sich auf infizierten USB-Geräten finden. Aktuell werden einige Versionen der Schadsoftware nur von wenigen Antiviren-Programmen entdeckt.
Daten, Speicher, Datenübertragung, Usb, Speichermedien, Datentransfer, USB-Stick, Datenträger, datenspeicher, Usb Stick, speichermedium, Usb Sticks, Memory
Die Cyberbedrohung wurde vom Palo Alto Network-Team Unit 42 (via Bleeping Computer) entdeckt. Den Sicherheitsforschern zufolge sucht die PlugX-Variante sensible Dokumente auf kompromittierten Systemen und kopiert die Dateien in einen versteckten Ordner auf dem angeschlossenen USB-Laufwerk. Die Malware verwendet die 32-Bit-Version des in Windows enthaltenen Debugging-Tools "x64dbg.exe" sowie eine kompromittierte Version der Bibliothek "x32bridge.dll", welche den PlugX-Code aus der "x32bridge.dat" lädt. PlugX Malware PlugX nutzt ein Unicode-Zeichen, um sich in einem unsichtbaren Ordner auf dem USB-Stick zu verstecken. Im Root-Verzeichnis ist ein Shortcut platziert, womit der Schadcode ausgeführt wird. Gleichzeitig wird ein neues Explorer-Fenster mit den normalen Dateien geöffnet, damit der Anwender keinen Verdacht schöpft. Nachdem der Computer infiziert wurde, wird PlugX auch auf weitere USB-Geräte kopiert.

Da sich die Schadsoftware mithilfe von USB-Sticks verbreiten kann, wäre es denkbar, dass das Programm auch vom Internet getrennte Netzwerke erreicht. Die kopierten Dokumente könnten dann in die Hände von Angreifern gelangen, wenn die entsprechenden Speichermedien gestohlen oder weitergegeben werden. Aufgrund des hohen Aufwands dürfte die neue PlugX-Variante hauptsächlich von staatlich beauftragten Hackern eingesetzt werden.

Viele Antiviren-Apps erkennen PlugX nicht

Derzeit werden modernere PlugX-Varianten nur von einem kleinen Teil der bekannten Antiviren-Apps erkannt. Virus Total gibt an, dass nur neun von 60 Programme die infizierte Datei als bösartig einstufen. Manche Versionen werden nur von drei Produkten entdeckt.

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!