Onderzoekers van Unit 42 hebben een nieuwe variant van de PlugX-malware ontdekt die zich verspreidt via USB-sticks op Windows-pc's. Het virus maakt een desktop.ini-bestand aan op de hoofdmap van de USB-stick. Indien gebruikers daarop klikken, wordt een Windows-snelkoppeling geactiveerd. Daarmee wordt een .exe-file geopend, die op zijn beurt een geïnfecteerd x32bridge.dll-bestand activeert waarna de PlugX-code geladen wordt. Deze is dan in staat om andere aangesloten USB-apparaten te infecteren en 'gevoelige documenten' van de pc te kopiëren naar de USB-sticks en ze daar te verstoppen in een 'onzichtbare map'.
Het verschil tussen een USB-stick die wel, en niet geïnfecteerd is
Dat kan volgens de onderzoekers door een Unicode-witruimteteken te gebruiken, zodat de map niet gedetecteerd wordt in Windows Verkenner en de opdrachtshell (cmd.exe). Op de precieze details wordt echter niet ingegaan. Het is tevens niet helemaal duidelijk hoe hackers vervolgens die bestanden in handen krijgen. BleepingComputer geeft als mogelijkheid dat ze hiervoor fysiek toegang moeten krijgen tot de stick.
Volgens dezelfde site wordt deze malware momenteel door de meeste antivirusprogramma's nog niet herkend. Slechts een handjevol van de 61 platformen op VirusTotal wisten deze telg van de PlugX-familie te vinden, waaronder Norton, McAfee en BitDefender.
Bronnen: BleepingComputer, Unit 42
