Análisis de malware

Malware USBCuprit: qué es, cómo funciona y cómo prevenirlo

10 de septiembre de por Greg Belding

Introducción

Los ladrones de información han sido parte del arsenal de atacantes desde los primeros días del malware. Menos común es un malware que puede robar información de un sistema aislado, y aún menos común es un ladrón de información que apunta específicamente a los gobiernos. Esto puede parecer sacado de una película de James Bond, pero es una realidad del malware.

Conozca USBCuprit, un ladrón de información que puede saltar espacios de aire y robar información de cualquier sistema al que esté conectado. Este artículo detallará los detalles de USBCuprit y explorará qué es, cómo funciona y cómo prevenirlo.

¿Qué es USBCuprit?

USBCulprit es un ladrón de información que se ha observado que utiliza dispositivos extraíbles, específicamente unidades flash USB, para llegar a sistemas aislados y filtrar información con su amplio conjunto de herramientas. Si bien los investigadores descubrieron recientemente USBCuprit, su código indica que se ha estado trabajando en él desde.

El grupo de ataque que lo opera es Cycldek, también conocido como Goblin Panda y Conimes y se sabe que tiene su sede en China. Este malware se dirige a entidades gubernamentales: hasta ahora sus objetivos han sido las naciones del sudeste asiático: Vietnam, Laos y Tailandia. Conocido por la comunidad de ciberseguridad desde, Cycldek es conocido por sus documentos señuelo que explotan las vulnerabilidades de Microsoft Office, así como por su malware que lanza un troyano de acceso remoto llamado NewCore RAT. USBCulprit trabaja mano a mano con NewCore RAT, que se explicará con más detalle más adelante.

Lo peor de un ataque de USBCulprit es que el malware es capaz de escanear múltiples rutas en un sistema infectado. Busca lo siguiente:

Después de descubrir uno o más archivos con estas rutas, exporta lo que encuentra a una unidad USB conectada. USBCuprit también puede copiarse selectivamente a cualquier otra unidad extraíble, lo que le permite moverse lateralmente a otros sistemas aislados o con espacios de aire cuando dicha unidad USB se conecta a otra máquina con espacios de aire.

Cómo funciona USBCuprit

La infección de sistemas aislados es la más sorprendente de las capacidades de este malware, pero no es ahí donde comienza la historia de la infección USBCuprit. Este malware infecta computadoras originalmente como archivos adjuntos RTF maliciosos a correos electrónicos de interés político que están llenos de malware. Cuando el usuario descarga este documento RTF y el sistema se ve comprometido, el sistema se infecta con NewCore RAT.

NewCore RAT consta de dos núcleos, RedCore y BlueCore, y ambos componentes «centrales» (perdón por el juego de palabras) descargan USBCulprit. Se arraiga en la máquina comprometida como una DLL de carga lateral que se implanta en aplicaciones legítimas y firmadas. Una vez que la infección USBCuprit ha comenzado, comienza un ataque de tres etapas:

  1. Escaneo y reconocimiento de datos
  2. Exfiltración de datos
  3. Movimiento lateral

Escaneo y reconocimiento de datos

En esta etapa, USBCuprit oculta las extensiones de archivos (y garantiza que el usuario no pueda ver los archivos ocultos) modificando las claves de registro con sus funciones CUSB::RegHideExt y CUSB::RegHideFile. Luego, este malware escanea el sistema comprometido para encontrar archivos para robar buscando la lista de extensiones de archivos enumeradas anteriormente con su función CUSB::USBFindFile.

Luego, estos archivos se agrupan en archivos RAR, se cifran y se utilizarán en etapas posteriores. Esta etapa puede considerarse como la fase de recopilación de información.

Exfiltración de datos

También conocida como fase de robo de información, aquí es donde las unidades USB realmente resultan útiles para USBCulprit. Intercepta cuando se conectan nuevos medios y es capaz de verificar que la unidad es extraíble. Si detecta que la unidad es un USB, el malware decide si copiar los archivos RAR mencionados anteriormente o usar la unidad USB como otra fuente de información para robar.

Luego busca en la unidad un directorio llamado $Recyc1e.Bin. Si aún no existe, creará el directorio. Esta se convierte en la ruta de destino para que la información robada se almacene en la unidad USB.

Movimiento lateral

En esta última etapa, USBCuprit se centra en el movimiento lateral dentro del entorno de la máquina comprometida. Para ello, busca un archivo de marcador llamado 2.txt; si se descubre, decidirá si se debe producir movimiento lateral o no.

Otras capacidades de USBCuprit que pueden ayudarlo en el movimiento lateral incluyen actualizarse, extender la ejecución con la ayuda de la ejecución de archivos predefinidos en el USB y alojar información de red que se filtra a los atacantes, junto con la información que permite a los operadores determinar si la red La máquina comprometida estaba efectivamente aislada.

Cómo prevenir USBCulprit

Actualmente no se conocen programas de seguridad que puedan impedir que USBCuprit robe datos. Esto se debe a la relativa novedad del descubrimiento del malware. La mejor manera de evitarlo es actualizar el estándar de USB de su organización. También es (como siempre) un sabio consejo no insertar USB desconocidos en su sistema, incluido ese USB que encontró en el estacionamiento esta semana.

Para aquellos interesados ​​en los indicadores de compromiso de USBCuprit, se presentan a continuación:

A9BCF983FE868A275F8D9D8F5DEFACF5 Cargador USBCulprit

C73B000313DCD2289F51B367F744DCD8 USBCulprit Cargador

2FB731903BD12FF61E6F778FDF9926EE Cargador USBCulprit

4A21F9B508DB19398AEE7FE4AE0AC380 Cargador USBCulprit

6BE1362D722BA4224979DE91A2CD6242 Cargador USBCulprit

7789055B0836A905D9AA68B1D4A50F09 Cargador USBCulprit

782FF651F34C87448E4503B5444B6164 Cargador USBCulprit

88CDD3CE6E5BAA49DC69DA664EDEE5C1 Cargador USBCulprit

A4AD564F8FE80E2EE52E643E449C487D Cargador USBCulprit

3CA7BD71B30007FC30717290BB437152 Carga útil USB culpable

58FE8DB0F7AE505346F6E4687D0AE233 Carga útil USB culpable

A02E2796E0BE9D84EE0D4B73ECSBCulprit carga útil

D8DB9D6585D558BA2D28C33C6FC61874 Carga útil USB culpable

2E522CE8104C0693288C997604AE0096 Carga útil USB culpable

Conclusión

El malware USBCuprit es un ladrón de información capaz de utilizar unidades flash USB para eludir el aislamiento de la red e infectar computadoras aisladas. Hasta ahora, este malware solo se ha dirigido a gobiernos del sudeste asiático, sobre todo a Vietnam. Roba información escaneando los sistemas infectados en busca de ciertas extensiones de archivos y luego extrae la información que desea a un directorio oculto en una unidad USB conectada.

Fuentes

  1. El malware utiliza USB para ayudar a robar datos: informe , BankInfoSecurity
  2. El malware USBCuprit se dirige a sistemas aislados para robar información gubernamental , Bleeping Computer
  3. La nueva herramienta de espionaje USBCuprit roba datos de computadoras aisladas , The Hacker News

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *