USB Thief, un nuovo malware invisibile che ruba informazioni

Scoperto da alcuni ricercatori di sicurezza un malware particolarmente abile ad occultarsi che può infettare sistemi non connessi alla rete senza, per altro, lasciare alcuna traccia del proprio operato. Il malware è stato denominato USB Thief, poiché si diffonde tramite chiavette e unità USB e ruba grandi quantità di informazione una volta che entra in attività. A differenza degli altri malware nati per operare tramite USB, questa nuova minaccia fa uso di una serie di nuove tecniche per abbinare se stesso al drive che lo ospita e assicurarsi così di non poter essere facilmente copiato altrove a scopo di analisi.

USB Thief fa uso, si apprende, di uno schema di cifratura a più stadi che deriva dal device ID del drive USB. Una catena di file loader contengono inoltre una serie di nomi di file che sono unici per ogni istanza del malware. Alcuni nomi sono basati sul contenuto preciso del file e sul momento in cui il file è stato creato. Di conseguenza il malware non va in esecuzione se i file sono spostati su un drive diverso da quello scelto in origine dallo sviluppatore.

Tomáš Gardoň, analista di sicurezza per la società Eset, ha spiegato: "Oltre all'interessante concetto di autoprotezione a più stadi, il sistema di sottrazione dei dati è molto potente, specialmente perché non lascia alcuna traccia sul computer infetto. Dopo che il drive USB compromesso è stato rimosso, nessuno può sapere che sono state rubate delle informazioni. Inoltre non sarebbe difficile riprogettare il malware per cambiare il suo tipo di azione, dal rubare dati all'effettuare altre operazioni criminose".

Il malware ha preso di mira società e aziende in Africa e America Latina. Attualmente il tasso di rilevamento è estremamente basso. Virus Total, il servizio operato da Google per tracciar eparticolari infezioni di malware attorno al mondo non ha ancora riscontrato traccia del malware.

USB Thief ha delle interessanti affinità con alcune note minacce informatiche supportate da governi che per anni hanno bersagliato infratrutture critiche situate in Medio Oriente. Tra queste si può ricordare il famoso worm Stuxnet, che gli USA e Israele hanno liberato allo scopo di neutralizzare il programma nucleare iraniano, anch'esso diffuso tramite drive USB, dal momento che molti dei sistemi presi di mira non era connesso alla rete. Infettando un sistema ogni volta che un drive compromesso viene ad esso collegato, Stuxnet ha potuto colmare i cosiddetti "air gap". La differenza sostanziale con USB Thief è che quest'ultimo è collegato in maniera univoca all'USB su cui "nasce", motivo per il quale l'efficacia di diffusione è decisamente più bassa e indica la volontà dei suoi creatori di operare azioni estremamente mirate.

A differenza della maggior parte degli attacchi veicolati tramite USB, USB Thief non si basa su meccanismi di auto-esecuzione o su vulnerabilità del sistema operativo. Si inserisce, invece, nella catena di comando di versioni portable di applicazioni legittime, che sono spesso operate da drive USB e sono comuni con applicazioni come FireFox, NotePad++ e TrueCrypt. Il risultato è che l'esecuzione della portable app causa anche l'esecuzione del malware in background.

Sembra inoltre che gli sviluppatori di USB Thief si siano concentrati in maniera particolare sulla fase di test per far si che il malware fosse in grado di operare in vari scenari e condizioni differenti. Per esempio USB Thief non si installa nel caso in cui nel sistema bersaglio sono attivi software antivirus di Kaspersky Labs o G Data, forse perché questi programmi sono in grado di rilevare il malware o ne causano un malfunzionamento.