Investigadores da ESET anunciaram a descoberta de um troiano que se espalha através de USB e rouba dados de computadores sem ligação à internet, no que poderá ser um componente de uma campanha de espionagem electrónica de grandes dimensões.

Batizado de USB Thief pela ESET, o troiano foi concebido claramente para roubar informações de computadores air gapped, computadores fisicamente separados de redes inseguras. Para o fazer, o vírus infecta drives USB que contêm versões portable de programas populares, mascarando-se de um dll legítimo.

A utilização de drives USB com ferramentas em versão portable é um recurso muito utilizado por técnicos informáticos e gestores de redes para evitar instalações em sistemas sensíveis para manutenção. No entanto, quando o programa na drive é executado, o vírus inicia um processo complexo em que o primeiro loader calcula uma hash SHA512 dos seus conteúdos.

Os loaders sucessivos e ficheiros de configuração utilizam esta hash para se verificarem mutuamente, com o resultado que cada hash é específica de cada USB infectada e quebrar a encriptação de uma drive não permite a descodificação dos conteúdos de outras drives.

Em atividade, o vírus pode roubar informações diversas, que também são diferentes em cada drive, copiando-as para esta, encriptando-as e não deixando qualquer traço da sua acção nos computadores analisados.

O vírus não faz qualquer tentativa de comunicar, nem de enviar informação para a rede. Esse pormenor faz a equipa da ESET suspeitar que o vírus tenha sido concebido para ataques altamente precisos, especialmente em computadores air gapped, por excelência recursos importantes com informação sensível. A equipa julga igualmente que o facto de cada infecção ser exclusiva da USB onde está requer outro componente para descodificação central das diversas USB, que se encontre instalado em redes centrais de empresas, departamentos de informática ou até agências de segurança.

A ESET recomenda que as empresas com computadores em air gap implementem novos procedimentos de segurança para fazer face a esta ameaça quase invisível.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*