El malware vinculado a un grupo de piratas informáticos chino se ha extendido a Europa, gracias a su capacidad de «autopropagarse» a través de unidades de memoria USB, dice un proveedor de seguridad cibernética.
Los hallazgos provienen de Check Point, que investigó(Se abre en una nueva ventana) un ataque de malware en una institución de salud en Europa a principios de este año. La evidencia técnica muestra que el malware tiene similitudes con los ataques de un grupo de espionaje chino llamado Mustang Panda.
Check Point rastreó la infección hasta una unidad USB perteneciente a un empleado del hospital europeo. La misma unidad USB se llevó previamente a una conferencia en Asia.
El empleado «compartió su presentación con otros asistentes usando su unidad USB. Desafortunadamente, uno de sus colegas tenía una computadora infectada, por lo que, sin saberlo, su propia unidad USB se infectó como resultado», dijo Check Point.
Después de regresar a Europa, el empleado insertó la unidad USB en una computadora del hospital, propagando así la infección a otro continente.
Check Point sospecha que la institución de salud europea fue simplemente un «daño colateral» y no el objetivo previsto. Esto se debe a que el grupo de piratas informáticos chino detrás del malware, Mustang Panda, históricamente se ha centrado en países del sudeste asiático.
Check Point señala que el incidente proporciona un «avistamiento en la naturaleza» de las herramientas de piratería que el proveedor de antivirus Avast describió en diciembre pasado en un informe.(Se abre en una nueva ventana) sobre Mustang Panda. En ese momento, Avast había descubierto un servidor FTP que el grupo de piratería chino estaba usando para alojar sus herramientas de piratería, que incluían un iniciador, escrito en Delphi, para instalar malware en una unidad USB.
(Crédito: punto de control)
El malware funciona ocultando todos los archivos en la unidad USB. Cuando un usuario accede a la unidad en una computadora, verá un programa ejecutable que lleva el nombre de la unidad USB, junto con una carpeta llamada «Kaspersky», una referencia a la compañía antivirus.
El nombre de Kaspersky puede engañar a los usuarios haciéndoles creer que su unidad USB se ha sometido a alguna protección de seguridad. Pero en realidad, el ejecutable es un lanzador malicioso. Si el usuario hace clic en él, el malware comenzará a copiarse en la computadora mientras revela los archivos previamente ocultos en la unidad USB.
Recomendado por Nuestros Editores
“No se utiliza ninguna técnica especial en este flujo de infección USB para ejecutar automáticamente el iniciador de Delphi. El esquema se basa completamente en la ingeniería social; las víctimas ya no pueden ver sus archivos en el disco y solo les queda el ejecutable”, agregó Check Point.
Luego, el malware instalará una puerta trasera en la computadora infectada, capaz de recibir instrucciones de un servidor de comando y control y cargar otros componentes maliciosos. También infectará cualquier unidad USB futura conectada a la computadora, lo que hará que el malware se propague por sí mismo.
El incidente es un recordatorio para tener cuidado al usar sus unidades USB. El informe de Check Point dice que el malware USB de Mustang Panda también fue visto infectando a víctimas en Rusia y Myanmar. Puede consultar nuestra guía sobre la prevención de ataques USB.
Check Point agregó: «Los usuarios deben tener cuidado al utilizar el mismo USB en varias redes y PC. Además, deben tener en cuenta el contenido con el que interactúan en los dispositivos USB. Es fundamental que las empresas se aseguren de que sus soluciones de terminales también incluyan USB. capacidades de escaneo».
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.