کشف بدافزار USB جدیدی برای سرقت داده

کشف بدافزار USB جدیدی برای سرقت داده

شرکت امنیتی ESET از کشف یک تروجان جدید بانام ” Win32/PSW.Stealer.NAI” خبر داده است که لقب “دزد USB” را نیز به آن داده‌اند. این بدافزار از دیگر بدافزارها متفاوت است و در حال گسترش سریع در اینترنت می‌باشد. آن از وسایل USB برای توزیع استفاده می‌کند و هیچ ردپایی از خود بر روی کامپیوتر نقض شده باقی نمی‌گذارد. در همان حال از مکانیزم هایی مخصوصی استفاده می‌کند که بدافزار را محافظت کند و از کپی کردن و تولید مجدد بدافزار جلوگیری می‌کند که یعنی شناسایی و تحلیل آن فوق‌العاده دشوار است.
اهداف سازنده را می‌توان تا حدودی از توانایی‌های موجود در نرم‌افزار حدس زد. آن بر اساس USB طراحی‌شده است و درنتیجه می‌تواند به سیستم‌هایی که به اینترنت متصل نیستند حمله کند. با اجراشدن از USB بدافزار ردپایی از خود باقی نمی‌گذارد و قربانی متوجه نخواهد شد که داده سرقت رفته است.  این بدافزار کمی متفاوت از بقیه است چون آن فقط به یک وسیله USB bound است و قرار نیست کپی و یا تولید مجدد شود. با این وابستگی و اجرا احراز هویت چندمرحله‌ای پیچیده، شناخت و تحلیل آن بسیار سخت است.
این بدافزار برای جلوگیری شناسایی و تحلیل در صورت شناسایی رمزنگاری‌شده است و رمزنگاری آن را با وسیله USB bound می‌کند. به نظر می‌رسد که این بدافزار برای حملات به اهداف خاصی ساخته‌شده است. در برخی از سازمان‌ها تعدادی از سیستم‌ها ارتباط بیرونی ندارند و وجود ابزاری که بتواند به این سیستم‌های بسته حمله کند امری خطرناک محسوب می‌شود، بخصوص اگر بدافزار بدون گذاشتن ردپا از خود عمل کند.
بهترین توصیه برای مقابله با این نوع حملات داشتن آموزش امنیتی برای کارمندان در تمام سطوح می‌باشد و در صورت امکان اجرا یک سناریو حمله در زمان واقعی. بااینکه این بدافزار غیرمعمول به شمار می‌رود، با اجرا اقدامات امنیتی سایبری معمولی می‌توان از آن جلوگیری کرد. همچنین بهتر است که پورت‌های USB در صورت امکان غیرفعال شوند و سیاست‌های خاصی برای استفاده از USB اعمال شود.
در اکثر مواقع روشی برای جلوگیری از اجرا بدافزارها وجود دارد اما ” دزد USB” خود را به‌عنوان یک plugin یا DLL برای برنامه‌های قابل‌حمل مانند Firefox، Notepad++ و TrueCrypt ذخیره می‌کند و در زمان اجراشدن برنامه‌ی مربوط خود را در background اجرا می‌کند.  آمارها نشان می‌دهد که اکثر مردم اقدامات امنیتی را در مورد وسایل USB رعایت نمی‌کنند و هر وسیله USB را در کامپیوتر خود وارد می‌کنند. روش‌های دیگر محافظت از داده‌ها نیز بهتر است استفاده شود (مانند محافظت در نقطه ورود تا backup داده‌ها).
درزمینهٔ سیستم‌ها و کامپیوترهای صنعتی (air-gapped systems) می‌توان گفت که در صورت ورود به آن هکرها قادر خواهند بود که خرابکاری‌های فراوانی را انجام دهند. payload این بدافزار را می‌توان دوباره طراحی نمود تا نوع حملات دیگری اجرا کند و عملکردهای دیگری داشته باشد.