Inicio de zonavirus, antivirus
zonavirus / noticias / ataque a pc's mediante win32/usbstealer

Ataque a PC's mediante Win32/USBStealer

msc hotline sat
Thursday, November 20, 2014
La herramienta Win32/USBStealer imita un programa ruso legítimo llamado USB Disk Security para monitorizar la inserción de unidades externas extraíbles y así infectar el PC.



Los investigadores de ESET han descubierto nuevas actividades del grupo de ciberespionaje Sednit, que ha estado principalmente dedicado a actividades de ataque a varias instituciones del Este de Europa.



ESET informa que Sednit ataca PCs no conectados a Internet utilizando Win32/USBStealer, herramienta que permite llevar a cabo este tipo de actividades utilizando dispositivos USB.



La herramienta Win32/USBStealer estaba llevando a cabo ataques físicos a ordenadores aislados para conseguir el acceso a archivos específicos. De acuerdo a los investigadores de ESET, Sednit ha estado utilizando esta herramienta en los últimos diez años con varios niveles diferentes de complejidad.



En este caso, la infección se distribuye desde un PC inicial con conexión a Internet (PC “A”) a otro ordenador objetivo (PC “B”) utilizando el puerto USB. “El PC A se infecta inicialmente con la herramienta Win32/USBStealer e intenta imitar un programa ruso legítimo llamado USB Disk Security para monitorizar la inserción de unidades externas extraíbles“, explica Joan Calvet, investigador de ESET.



Cuando un dispositivo USB se inserta, el programa descifra dos de sus recursos en memoria. El primero deposita el programa Win32/USBStealer en la unidad extraíble con el nombre“USBGuard.exe”. El segundo recurso es un archivo AUTORUN.INF que, tras haber infectado el dispositivo USB, permite que al insertar este en la computadora objetivo, se autoejecute y acceda, de esta manera, a ficheros específicos que estaban aislados de la red. “Los nombres de los ficheros que buscan en el proceso de extracción automática indica que tienen un conocimiento muy preciso de sus objetivos“, añade Joan Calvet.



El AUTORUN.INF utilizado se compone de estas instrucciones:









open=



shell\open=Explore



shell\open\command=”System Volume Information\USBGuard.exe” install



shell\open\Default=1







Ver información original en Fuente:

http://diarioti.com/grupo-ataca-sistematicamente-pcs-aislados-de-internet-utilizando-dispositivos-usb/84520

 RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
zonavirus / noticias / ataque a pc's mediante win32/usbstealer
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto