Totgeglaubte leben länger: USB-Wurm ist wieder da
Die altbekannte Methode, einen USB-Stick mit Schadsoftware auf Parkplätzen auszulegen, ist zurück. Die neue Version verbreitet sich also wie ehemals über USB-Laufwerke, nutzt jetzt aber eine legitime ausführbare Datei, die sie nach dem Einstecken in einen USB-Port sofort in das Zielnetzwerk einschleust. Der Wurm trat jetzt erstmals im August 2022 in Papua-Neuguinea auf und breitet sich seitdem immer weiter aus.
Vorsicht mit USB-Sticks, deren Herkunft nicht eindeutig geklärt ist: Der USB-Speicher als Malware-Verbreitungsmittel ist zurück. In verschiedenen Ländern wie Nigeria, Ghana, Simbabwe und der Mongolei tauchte eine neue Version des bekannten Wurms PlugX auf. Dabei nutzt die Malware eine legitime ausführbare Datei, um sich ins Zielnetzwerk zu schleusen und versteckt sich dann in einem gefälschten Verzeichnis namens „RECYLER.BIN“. Dieses Verzeichnis wird von den Angreifern so verschleiert, dass es von Windows mit dem echten Windows-Papierkorb assoziiert wird. Der Wurm kopiert dann Dateien aus dem infizierten Netzwerk auf das USB-Laufwerk.
PlugX ist bereits seit mindestens 2008 bekannt und wird der chinesischen Hacker-Gruppierung MustangPanda zugeordnet, die mit staatlich geförderten Cyberspionage-Aktivitäten in Verbindung gebracht wird. Im letzten Jahr wurde bereits eine Zunahme der Aktivitäten von USB-Malware-Verbreitung bemerkt. Das Comeback dieser Methode ist ein weiteres Beispiel dafür, dass Cyberkriminelle immer wieder neue und alte Tricks kombinieren, um ihre Opfer zu attackieren.
Weltweites Comeback in Sicht?
Gabor Szappanos, Threat Research Director, Sophos, über das Revival des USB-Wurms: „Im November vergangenen Jahres berichteten wir über verschiedene Verdichtungen aktiver feindlicher Aktivitäten gegen Regierungseinrichtungen in Südostasien, die sich ebenfalls dieser Retro-Methode via USB-Laufwerke bedienten. Der Wurm tauchte schließlich einen Monat später Tausende von Kilometern entfernt in Afrika auf. Nun umfasst diese erneute Anhäufung von USB-Wurm-Aktivitäten drei Kontinente. Im Vergleich zu internetbasierten Attacken halten wir Wechselmedien nicht für besonders mobil, aber diese Verbreitungsmethode hat sich in diesen Teilen der Welt als sehr effektiv erwiesen. Es existieren zahlreiche Akteure mit sehr unterschiedlichen Interessen, die sich der Vorteile eines USB-Sticks bedienen, uns scheint hier aber vor allem die Gruppierung MustangPanda der Drahtzieher zu sein. Ein Comeback des USB-Wurms auszurufen ist vielleicht zu früh, aber es ist ganz sicher keine ausgediente Technik von vor zehn oder zwanzig Jahren. Einige bekannte Bedrohungsakteure setzen weiterhin auf die Vorteile von USB, um ihre Schadsoftware zu verbreiten.“
