Обзор - Троян USB Thief использует USB-носители для кражи личных данных пользователей
Компания ESET сообщила об обнаружении новой троянской программы под названием USB Thief. Примечательна она тем, что использует для распространения съёмные USB-носители — внешние жёсткие диски или флешки.
Троянец запускается исключительно со съёмного USB-устройства и не оставляет никаких следов в системе, а пользователь не замечает, что данные перемещаются с компьютера на внешний накопитель.
Программа привязывается только к одному носителю, что предотвращает её утечку из системы. Отмечается, что зловредное приложение имеет сложную систему шифрования, что затрудняет его обнаружение. Также USB Thief отличается хорошей защитой от копирования и воспроизводства, что ещё больше усложняет процесс детектирования угрозы.
Как правило, большинство подобных программ предлагает пользователю запустить вредоносный файл выдавая его за легитимное приложение. В данном случае, троянец использует довольно распространённую практику хранения портативных версий известных программ — таких как NotePad++, TrueCrypt и многих других. USB Thief внедряет свой код в цепочку команд в формате динамически подключаемой библиотеки или расширения. При запуске приложения зловредная программа также начинает действовать и работает в фоновом режиме.
В результате проведённого исследования специалистами лаборатории ESET было выяснено, что троян нацелен на кражу файлов определённых форматов. Зловредное приложение исследует документы и изображения, находящиеся на жёстком диске компьютера, а также иные данные, записанные с помощью импортированной программы WinAudit, после чего копирует их на внешний носитель и там шифрует. Когда USB-устройство с USB Thief удаляется из системы, никто не сможет узнать о её компрометации.
Как отмечает вирусный аналитик ESET Томаш Гардон, подобная программа создана для целенаправленных атак на системы, у которых нет доступа в Интернет по соображениям безопасности. В настоящее время это далеко не самый распространённый способ похищения данных, но при этом же крайне опасный, поскольку возможности зловреда при желании можно существенно расширить.
Комментарии