Trojan para drives USB consegue furtar dados sem o computador ou notebook estar conectado à internet

Em um post divulgado nesta quarta-feira (23), a empresa de antivírus ESET anunciou a descoberta de um novo Trojan que está sendo distribuído através de drives USB e que, ao que tudo indica, é projetado para roubar informações de computadores mesmo que eles não estejam conectados à internet.

De acordo com a companhia, a ameaça foi batizada de "USB Thief" ("ladrão de USB", na tradução livre). A ESET alega que o USB Thief é voltado principalmente para máquinas que utilizam redes "air gap", ou seja, que estão fisicamente isoladas de outras redes consideradas inseguras. Nestes casos, qualquer ferramenta precisa ser instalada no computador por meio de uma mídia externa. 

Os pesquisadores afirmam que o Trojan tem várias diferenças quando comparado aos malwares tradicionais que se espalham usando dispositivos de armazenamento USB. Uma delas está no fato de que o programa malicioso infecta drives USB que possuem instalações portáteis de aplicações populares, incluindo Firefox, NotePad++ e TrueCrypt. 

Como muitos técnicos de suporte ou administradores de sistemas também usam essas aplicações com frequência para resolver problemas mais graves nos PCs dos usuários – por exemplo, quando há a necessidade de formatar a máquina e reinstalar os programas mais básicos –, o ladrão de USB pode facilmente se infiltrar nas versões portáteis dos programas mais utilizados pelos consumidores. 

Os especialistas também citam que o recurso de execução automática do Windows, que autoriza o PC acessar automaticamente as mídias externas, pode contribuir para a disseminação do programa malicioso. 

Ainda segundo a ESET, o USB Thief é um malware de multi-fases, composto de três executáveis, cada um carregando um componente que está interligado entre si, sendo eles dois arquivos criptografados de configuração e uma carga útil para o processo final de infecção. Este, por sua vez, determina quais informações irá roubar, onde irá armazená-las e como vai criptografá-las para evitar que os autores sejam detectados. 

Como não há nenhuma tentativa de enviar esses dados por meio de uma conexão à internet, os especialistas acreditam que os atacantes conseguem recuperá-los posteriormente a partir dos drives USB que foram infectados. 

Os pesquisadores dizem ser "extremamente difícil" analisar o malware porque, além de estar criptografado, não é possível identificar o dispositivo USB que originou o ataque. Além disso, uma vez que o USB for removido do PC infectado, não há nenhuma evidência de rastros deixados no computador. 

Não se sabe ao certo como essa ameaça surgiu. Contudo, a ESET acredita que o USB Thief pode ser o componente de uma plataforma de ciberespionagem muito maior. 

"Portas USB devem ser desativadas sempre que possível e, caso isso não aconteça, políticas rigorosas devem ser adotadas para reforçar o cuidado em sua utilização. É altamente desejável que os funcionários [das empresas] se submetam a um treinamento em todos os níveis de segurança cibernética", destacou Thomas Gardon, analista de malware na ESET.


Fonte: PC World, ESET e Canaltech
Edição: Diogenes Bandeira - Consultor de Segurança Eletrônica
Blog: Diogenes Bandeira