专家警告称,一种利用USB驱动器的新型恶意软件正在迅速在全球蔓延。网络安全公司CheckPoint发布了一份报告,概述了一个名为CamaroDragon(也称为MustangPanda和LuminousMoth)的中国国家资助组织如何通过受感染的USB驱动程序大规模传播恶意软件。
WispRider是正在使用的主要变体的名称,它已经经历了多次迭代。它使用HopperTrick启动器通过USB进行传播,并且还具有绕过SmadAV(东南亚流行的防病毒解决方案)的功能。
Perimeter81的恶意软件防护可在交付阶段拦截威胁,以防止已知的恶意软件、多态攻击、零日攻击等。让您的员工自由使用网络,而无需担心数据和网络安全。
WispRider还能够进行DLL侧载,使用属于安全软件的组件,例如G-DATATotalSecurity,以及属于游戏界两大巨头ElectronicArts和RiotGames的组件。CheckPoint通知上述公司攻击者使用了他们各自的软件。
CheckPoint表示:“使用自我传播USB恶意软件进行的攻击的普遍性和性质表明,需要防范这些攻击,即使对于可能不是此类活动直接目标的组织也是如此。”
它声称在世界其他国家发现了USB恶意软件感染,包括缅甸、韩国、英国、印度和俄罗斯。
CheckPoint还指出,WispRider与CamaroDragon最近使用的其他工具一致,例如名为TinyNote的后门和名为HorseShell的路由器固件植入。“他们都有共同的基础设施和运营目标,”CheckPoint声称。
自从欧洲医院出现该病例以来,该恶意软件已经升级。现在它具有更加统一的结构,其中USB感染器、规避模块和后门被组合成一个有效负载,而不是一组单独的合法可执行文件和侧面加载的DLL。
恶意软件组件的编码也进行了修改,所有组件的新版本现在都是用C++编写的,而USB启动器是用Delphi编写的。