Обнаружен сложный USB-троян

Специалисты по сетевой безопасности предупреждают об обнаружении нового USB-трояна, чрезвычайно сложного для обнаружения, который нацеливается на системы с физической изоляцией с целью промышленного шпионажа. Троян назван USB Thief (Win32/PSW.Stealer.NAI) и считается самым сложным из когда-либо обнаруженных, используя шифрование и самозащиту для того, чтобы скрыть своё присутствие и действия.

Представитель компании ESET пишет, что троян привязывается к USB-дискам, используя данные каждого носителя как ключ шифрования для сокрытия своих вредоносных файлов. Если копировать троян на другой носитель, шифрование теряется и содержимое вредоносных файлов невозможно определить. Таким образом, троян мог быть создан для атак на конкретных людей или организации.

Когда флешка подключается к компьютеру, троян крадёт данные вроде документов и изображений, сохраняя на флешке в зашифрованном виде. После отсоединения флешки на компьютере невозможно обнаружить следов произошедшего. Механизм самозащиты трояна затрудняет процесс его анализа методом обратной инженерии. Троян состоит из четырёх исполняемых и двух конфигурационных файлов, которые должны работать в определённом порядке. Не зная этого порядка, невозможно воспроизвести поведение трояна, даже если взломать шифрование и получить доступ к контенту.

Ещё одной сильной стороной трояна является простота его модификации, позволяющая менять цель атак и тип собираемых данных. Троян может быть включен в состав плагина или расширения портативных приложений, вроде Firefox, Chrome, TrueCrypt, Notepad++ и т.д. Когда запускаются эти приложения, троян будет запускаться вместе с ними.