ESET detecta cavalo de Tróia para computadores sem Internet

Publicado em 29/03/2016 19:21 em Segurança Informática

A empresa de segurança informática ESET descobriu um cavalo de Tróia para roubar dados de computadores que não estão ligados à Internet, o USB Thief.

Em comunicado, a ESET indica que o USB Thief é um malware sofisticado que actua apenas através de dispositivos USB, tem uma protecção contra detecção e não deixa vestígios no computador comprometido.

Tomás Gardon, analista da ESET, afirma que aquele malware aparenta ter sido criado tendo como alvo computadores ou sistemas informáticos isolados da Internet.

Acrescenta que o facto de o USB Thief correr apenas a partir de um dispositivo USB significa que não deixa vestígios no computador atingido e as vítimas nem sabem que lhes foram roubados dados.

Outra característica deste malware, nada usual, é que cada amostra do malware se destina a um determinado dispositivo USB e tem uma encriptação multicamadas desenhadas para as funcionalidades do dispositivo USB específico, o que o torna ainda mais difícil de ser detectado.

Gardon sublinha que tendo em conta que as organizações isolam computadores ou sistemas informáticos internos que não têm ligação à Internet pela boa razão de aí guardarem dados sensíveis, qualquer ferramenta capaz de atacar esses sistemas isolados deve ser visto como muito perigoso, ainda mais quando não deixa vestígios na máquina de onde os dados são roubados.

O analista da ESET afirma que o USB Thief parece ter sido criado para atingir alvos específicos, o que aumenta a sua periculosidade para as organizações.

Afirma que para as organizações estarem protegidas devem dar formação em segurança aos seus quadros a todos os níveis, designadamente para se aperceberem dos riscos associados aos dispositivos USB e que aqueles dispositivos devem ser sempre analisados antes de serem utilizados num computador.

Tomás Gardon salienta que o USN Thief beneficia também do facto de vários dispositivos de armazenamento USB incluírem versões portáteis de algumas aplicações comuns, como o Firefox, Notepad++, ou TrueCript, que permite ao malware ser armazenado como uma fonte plugin ou um DLL (Dynamically Linked Library) de aplicações portáteis.

O analista indica que o USB Thief consiste em seis ficheiros, quatro deles executáveis e dois de configuração, com ficheiros individuais com encriptação AES128 e os nomes dos ficheiros gerados por elementos criptográficos.

Com esta técnica, consegue-se que os nomes dos ficheiros sejam diferentes nos vários dispositivos USB em que venham instalados, o que torna particularmente desafiante analisar e detectar o malware. Além disso, o malware não é copiável para outro dispositivo de armazenamento USB.

A ESET sublinha que este malware está pouco difundido, mas tem, contudo, a capacidade de ser direccionado para alvos determinados, nomeadamente computadores que não têm ligação à Internet por razões de segurança.

Ainda sem comentários