Home » News » Cybersecurity » Totgeglaubte leben länger: USB-Wurm ist wieder da

Totgeglaubte leben länger: USB-Wurm ist wieder da

Die altbekannte Methode, einen USB-Stick mit Schadsoftware auf Parkplätzen auszulegen, ist zurück. Die neue Version verbreitet sich also wie ehemals über USB-Laufwerke, nutzt jetzt aber eine legitime ausführbare Datei, die sie nach dem Einstecken in einen USB-Port sofort in das Zielnetzwerk einschleust. Der Wurm trat jetzt erstmals im August 2022 in Papua-Neuguinea auf und breitet sich seitdem immer weiter aus.

1 Min. Lesezeit
Foto: ©AdobeStock/suradech_k

Vorsicht mit USB-Sticks, deren Herkunft nicht eindeutig geklärt ist: Der USB-Speicher als Malware-Verbreitungsmittel ist zurück. In verschiedenen Ländern wie Nigeria, Ghana, Simbabwe und der Mongolei tauchte eine neue Version des bekannten Wurms PlugX auf. Dabei nutzt die Malware eine legitime ausführbare Datei, um sich ins Zielnetzwerk zu schleusen und versteckt sich dann in einem gefälschten Verzeichnis namens „RECYLER.BIN“. Dieses Verzeichnis wird von den Angreifern so verschleiert, dass es von Windows mit dem echten Windows-Papierkorb assoziiert wird. Der Wurm kopiert dann Dateien aus dem infizierten Netzwerk auf das USB-Laufwerk.

PlugX ist bereits seit mindestens 2008 bekannt und wird der chinesischen Hacker-Gruppierung MustangPanda zugeordnet, die mit staatlich geförderten Cyberspionage-Aktivitäten in Verbindung gebracht wird. Im letzten Jahr wurde bereits eine Zunahme der Aktivitäten von USB-Malware-Verbreitung bemerkt. Das Comeback dieser Methode ist ein weiteres Beispiel dafür, dass Cyberkriminelle immer wieder neue und alte Tricks kombinieren, um ihre Opfer zu attackieren.

Weltweites Comeback in Sicht?

Gabor Szappanos, Threat Research Director, Sophos, über das Revival des USB-Wurms: „Im November vergangenen Jahres berichteten wir über verschiedene Verdichtungen aktiver feindlicher Aktivitäten gegen Regierungseinrichtungen in Südostasien, die sich ebenfalls dieser Retro-Methode via USB-Laufwerke bedienten. Der Wurm tauchte schließlich einen Monat später Tausende von Kilometern entfernt in Afrika auf. Nun umfasst diese erneute Anhäufung von USB-Wurm-Aktivitäten drei Kontinente. Im Vergleich zu internetbasierten Attacken halten wir Wechselmedien nicht für besonders mobil, aber diese Verbreitungsmethode hat sich in diesen Teilen der Welt als sehr effektiv erwiesen. Es existieren zahlreiche Akteure mit sehr unterschiedlichen Interessen, die sich der Vorteile eines USB-Sticks bedienen, uns scheint hier aber vor allem die Gruppierung MustangPanda der Drahtzieher zu sein. Ein Comeback des USB-Wurms auszurufen ist vielleicht zu früh, aber es ist ganz sicher keine ausgediente Technik von vor zehn oder zwanzig Jahren. Einige bekannte Bedrohungsakteure setzen weiterhin auf die Vorteile von USB, um ihre Schadsoftware zu verbreiten.“

Andere interessante News

Versteckte Bedrohung in AWS

Die neue Cloud-native Kryptojacking-Operation AMBERSQUID nutzt ungewöhnliche AWS-Dienste wie AWS Amplify, AWS Fargate und Amazon SageMaker. Diese Dienste werden normalerweise nicht von Angreifern verwendet und werden daher oft in Bezug auf Sicherheit übersehen. Die AMBERSQUID-Operation kann Opfern jedoch täglich mehr als 10.000 US-Dollar kosten.

Bericht: Anstieg der Cyberbedrohungen auf Rekordniveau

Ein aktueller Bericht, der die Aktivitäten von Cyberkriminellen und staatlich unterstützten Hackern in den ersten sechs Monaten des Jahres 2023 analysiert hat, offenbart alarmierende Entwicklungen. Angriffe auf Unternehmen und Organisationen weltweit haben drastisch zugenommen.

Neuer Incident Response Ransomware Report

Der Bericht zur globalen Cyberbedrohungslandschaft in der ersten Jahreshälfte 2023 zeigt alarmierende Trends: So sind Ransomware-Fälle um 46 Prozent im Vergleich zu 2022 gestiegen.