Троян USB Thief не залишає слідів і працює на флешках

thief

слідів

Xakep #239. Розкрити та вивчити

слідів

Xakep #238. Забутий Android

троян

Xakep #237. Даркнет 2018

залишає

слідів

Xakep #235. Відродження експлоїт-китів

Xakep #239. Розкрити та вивчити

Фахівці компанії ESET виявили вкрай незвичайний троян: малеча отримала назву USB Thief (Win32/PSW.Stealer.NAI). Шкідливість орієнтований на крадіжку даних, він поширюється і працює на звичайних флешках, а також майстерно приховує сліди своєї присутності в системі. Троян ідеальний для кібершпигунства, тому що здатний дістатися навіть до ізольованих від мережі систем, якщо до них можна підключити USB-накопичувач.

На відміну від інших USB-загроз, які прописуються в автозавантаження і підробляють ярлики додатків, щоб малеча запустилася, USB Thief діє інакше. Робота трояна розрахована на те, що користувачі часто зберігають на флешках портативні версії таких програм як Firefox, NotePad++, TrueCrypt і так далі. Малвар акуратно вбудовується в ланцюжок завантаження таких програм, видаючи себе за плагін чи файл DLL. Таким чином, коли користувач запускає з флешки звичну програму, разом з ним (у фоновому режимі) виконується і запуск трояна.

залишає
Структура трояну

USB Thief працює безпосередньо з флешки і не залишає жодних слідів у самій системі. Троян складається з шести файлів, чотири з яких виконуються, а ще два містять дані конфігурації. Перший лоадер відповідає за запуск трояна разом із портативною версією будь-якої програми. Він перевіряє USB-пристрій і переконується, що може записувати на нього вкрадену інформацію та зберігати її тут. Потім стартує другий лоадер. Він перевіряє імена батьківських процесів і переконується, що працює узвичайному оточенні (і ніхто не намагається його аналізувати). Третій лоадер, своєю чергою, перевіряє наявність у системі антивірусів.

Останній, четвертий пейлоад, який вбудовується у запущений процес, відповідає безпосередньо за крадіжку даних. USB Thief викрадає документи, зображення, список файлів з усіх доступних дисків, дані реєстру Windows та інформацію, зібрану за допомогою WinAudit. Усі викрадені дані зберігаються на флешці та шифруються із застосуванням еліптичної криптографії.