I ricercatori hanno scoperto un nuovo metodo di diffusione del malware PlugX, che sfrutta una falla in Esplora file di Windows. Di conseguenza, il malware opera in modo completamente invisibile per l’utente.
Mentre i virus memorizzati su supporti esterni sono diffusi da oltre 35 anni, è stato appena scoperto un nuovo metodo di diffusione del malware PlugX per infettare i PC Windows. Questa campagna di distribuzione ha quindici anni e si ritiene sia stata avviata da un gruppo di hacker cinesi. Ma si è evoluto così tanto nel corso degli anni che ora è impossibile determinare l’origine di questo nuovo attacco.
La nuova scoperta è stata fatta dal team Unit 42, ricercatori di sicurezza di Palo Alto Networks. Il malware in questione infetta le chiavette USB e tutti i supporti rimovibili. Ma la grande novità è la sua capacità di non essere praticamente rilevabile, poiché sfrutta una “scappatoia” nella gestione dei file di Windows. Anche la recente versione di Windows 11 soffre di questo tipo di bug.
Se il malware PlugX è così ben nascosto che è impossibile rilevarne la presenza su una chiavetta USB. È necessario utilizzare un sistema operativo basato su Unix o montare la chiave utilizzando uno strumento specializzato. Come riesce a rendersi invisibile a Windows? La tecnica utilizzata è relativamente semplice, ma efficace: nasconde i file utilizzando un determinato carattere Unicode, che ha il codice esadecimale 00A0 (che corrisponde a uno spazio unificatore).
Il problema è che né Esplora file di Windows né il Prompt dei comandi sono in grado di gestire correttamente questo tipo di carattere. Pertanto, non possono visualizzare l’esatta struttura ad albero della chiavetta USB. Alcuni file sono quindi invisibili all’utente. Infine, per completare il quadro, viene creato un collegamento di Windows con estensione .lnk nella radice del dispositivo USB. Per installarsi meglio nel sistema, il malware registrato nella libreria x32bridge.dll carica x32bridge.dat. Nel processo, crea una directory chiamata RECYCLER.BIN e un file nascosto DESKTOP.INI.
Quali sono i rischi di PlugX?
Una volta corrotto il sistema, il malware monitora continuamente ogni nuovo dispositivo USB inserito nel PC. Questo naturalmente per estendere la sua portata. Ma quali sono i rischi di PlugX? Sebbene Unit 42 non si soffermi sulle sue possibili malefatte, poiché questo non è il suo obiettivo, sappiamo che il malware è uno dei più virulenti. Questa “famiglia” di malware è in grado di catturare tutto ciò che accade sullo schermo, di registrare i movimenti della tastiera e del mouse, di gestire tutti i processi di sistema e di creare nuove voci nel registro di sistema o di riavviare il sistema.
Infine, i ricercatori hanno scoperto anche una variante del malware che prende di mira i file PDF e Word. Non si ripeterà mai abbastanza: per proteggersi, non c’è niente di meglio di una soluzione di sicurezza. Oppure, in mancanza di questo, Windows Security (noto anche come Windows Defender), che viene offerto di default su Windows 10 o Windows 11.
