Home » News » Cybersecurity » Totgeglaubte leben länger: USB-Wurm ist wieder da

Totgeglaubte leben länger: USB-Wurm ist wieder da

Die altbekannte Methode, einen USB-Stick mit Schadsoftware auf Parkplätzen auszulegen, ist zurück. Die neue Version verbreitet sich also wie ehemals über USB-Laufwerke, nutzt jetzt aber eine legitime ausführbare Datei, die sie nach dem Einstecken in einen USB-Port sofort in das Zielnetzwerk einschleust. Der Wurm trat jetzt erstmals im August 2022 in Papua-Neuguinea auf und breitet sich seitdem immer weiter aus.

1 Min. Lesezeit
Foto: ©AdobeStock/suradech_k

Vorsicht mit USB-Sticks, deren Herkunft nicht eindeutig geklärt ist: Der USB-Speicher als Malware-Verbreitungsmittel ist zurück. In verschiedenen Ländern wie Nigeria, Ghana, Simbabwe und der Mongolei tauchte eine neue Version des bekannten Wurms PlugX auf. Dabei nutzt die Malware eine legitime ausführbare Datei, um sich ins Zielnetzwerk zu schleusen und versteckt sich dann in einem gefälschten Verzeichnis namens „RECYLER.BIN“. Dieses Verzeichnis wird von den Angreifern so verschleiert, dass es von Windows mit dem echten Windows-Papierkorb assoziiert wird. Der Wurm kopiert dann Dateien aus dem infizierten Netzwerk auf das USB-Laufwerk.

PlugX ist bereits seit mindestens 2008 bekannt und wird der chinesischen Hacker-Gruppierung MustangPanda zugeordnet, die mit staatlich geförderten Cyberspionage-Aktivitäten in Verbindung gebracht wird. Im letzten Jahr wurde bereits eine Zunahme der Aktivitäten von USB-Malware-Verbreitung bemerkt. Das Comeback dieser Methode ist ein weiteres Beispiel dafür, dass Cyberkriminelle immer wieder neue und alte Tricks kombinieren, um ihre Opfer zu attackieren.

Weltweites Comeback in Sicht?

Gabor Szappanos, Threat Research Director, Sophos, über das Revival des USB-Wurms: „Im November vergangenen Jahres berichteten wir über verschiedene Verdichtungen aktiver feindlicher Aktivitäten gegen Regierungseinrichtungen in Südostasien, die sich ebenfalls dieser Retro-Methode via USB-Laufwerke bedienten. Der Wurm tauchte schließlich einen Monat später Tausende von Kilometern entfernt in Afrika auf. Nun umfasst diese erneute Anhäufung von USB-Wurm-Aktivitäten drei Kontinente. Im Vergleich zu internetbasierten Attacken halten wir Wechselmedien nicht für besonders mobil, aber diese Verbreitungsmethode hat sich in diesen Teilen der Welt als sehr effektiv erwiesen. Es existieren zahlreiche Akteure mit sehr unterschiedlichen Interessen, die sich der Vorteile eines USB-Sticks bedienen, uns scheint hier aber vor allem die Gruppierung MustangPanda der Drahtzieher zu sein. Ein Comeback des USB-Wurms auszurufen ist vielleicht zu früh, aber es ist ganz sicher keine ausgediente Technik von vor zehn oder zwanzig Jahren. Einige bekannte Bedrohungsakteure setzen weiterhin auf die Vorteile von USB, um ihre Schadsoftware zu verbreiten.“

Andere interessante News

Datensicherheit, Cloud

Fehler bei SaaS-Datensicherheit vermeiden

Wenn es um SaaS-Datensicherheit mit geteilter Verantwortung für Datensicherheit in der Cloud geht, ist es wichtig, Modelle der geteilten Verantwortung (Shared responsibility) zu verstehen und kritische Fehler beim Schutz von SaaS-Daten vermeiden. Was bei der Nutzung von As-a-Service-Diensten und der Cloud zu beachten ist.

Phishing

Spear-Phishing-Methoden jetzt bei Massen-Phishing-Kampagnen entdeckt

Cyberkriminelle nutzen Methoden aus Spear-Phishing zunehmend für Massenkampagnen. Während herkömmliche Phishing-Mails generische, oft fehlerhafte Nachrichten an viele Empfänger senden, sind Spear-Phishing-Nachrichten hochgradig personalisiert und enthalten spezifische Details der Zielperson, wodurch sie glaubwürdiger wirken.

Mensch mit Smartphone

Wie Identity Fabric den Boden für Zero Trust bereitet

Identity Fabric (IF) ist eine moderne Infrastruktur für Identitäts- und Zugriffsmanagement (IAM) in hybriden und Multi-Cloud-Umgebungen. Sie kombiniert modulare IAM-Tools für hybride und Multi-Cloud-Umgebungen, unterstützt alle menschlichen und maschinellen Identitäten, bietet erweiterte Analysen und standardbasierte Integrationen – und ist ein wichtiger Schritt in Richtung Zero Trust.