По компьютерам во всем мире активно распространяется вирус WispRider, сообщили эксперты Check Point Research. Заражение происходит через USB-накопители, а ответственность за эпидемию специалисты возложили на хакерскую группировку Camaro Dragon, известную также под названиями Mustang Panda, Luminous Moth и Bronze President — её связывают с Китаем.
Источник изображения: jacqueline macou / pixabay.com
Первое заражение новым вирусом предположительно произошло на некой международной конференции, проходившей в Азии. Один из участников мероприятия, которого назвали «нулевым пациентом», передал свой USB-накопитель другому участнику, чтобы тот скопировал себе файл презентации, но компьютер последнего был заражён, и накопитель вернулся к владельцу уже заражённым. Вернувшись в свою европейскую страну человек вставил накопитель в один из рабочих компьютеров в медицинском учреждении, что привело к заражению всей больничной сети.
Основной функции вируса присвоили название WispRider — впервые бэкдор, обеспечивающий хакерам доступ к компьютеру жертвы, был обнаружен специалистами Avast в конце прошлого года, но с тех пор вирус оброс новыми функциями. Он распространяется через USB-накопители при помощи программы автозапуска HopperTick, оставаясь невидимым для популярного в Южной Азии антивируса SmadAV. Вредонос осуществляет загрузку DLL-файла при помощи программных компонентов антивируса G-DATA Total Security, а также продуктов игровых разработчиков Electronic Arts и Riot Games — исследователи Check Point Research уже уведомили их об этом. Загружается также написанный на языке Go бэкдор TinyNote и вредоносный компонент прошивки маршрутизаторов HorseShell.
Источник изображения: sebastianperezhdez / pixabay.com
Когда к заражённому компьютеру подключается USB-накопитель, вирус обнаруживает новое устройство и создаёт в корне флешки несколько скрытых папок. Далее он копирует на накопитель загрузчик на Delphi с именем этого накопителя и его стандартным значком. С технической точки зрения ничего экстраординарного не происходит — это обычный сценарий, и распространение вируса происходит в основном за счёт человеческого фактора. Вместо своих файлов на диске жертвы видят исполняемый файл, который они бездумно запускают, заражая тем самым свою машину. WispRider действует одновременно как заражающий модуль и бэкдор для доступа к файлам пользователя, подгружая выполняющий обе функции DLL-файл — вредоносная активность запускается с заражённой машины, а если этого ещё не произошло, то производится собственно заражение. Вирус также распространяется по доступным сетевым ресурсам.
Для защиты от эпидемии WispRider эксперты предлагают следующие меры безопасности.
Проводить на предприятиях разъяснительную работу среди сотрудников, повышая их осведомлённость о потенциальной угрозе, которую представляют USB-накопители из неизвестных или ненадёжных источников; а также поощрять осмотрительное поведение и не допускать подключение незнакомых накопителей к корпоративным устройствам.
Строго и чётко регламентировать правила подключения USB-накопителей к устройствам в корпоративной сети вплоть до запрета их использования, если они не были получены из надёжных источников.
Найти безопасные альтернативы USB-накопителям — облачные хранилища и зашифрованные файлообменные платформы. Это снизит зависимость от внешних устройств и частично нейтрализует связанные с ними риски.
Проводить своевременное обновление антивирусного и другого ПО для обеспечения безопасности на всех устройствах, а также периодическое сканирование USB-накопителей на наличие вредоносного ПО.
Источник: 3DNews