Rosyjski malware, roznoszący się pendrajwami a używany bojowo głównie na Ukrainie, zlokalizowany również w Polsce

Checkpoint donosi o nowych osiągnięciach ~rosyjskiej grupy APT – Gamaredon. Dokładniej chodzi o malware LitterDrifter o którym czytamy co następuje:

Robak LitterDrifter jest napisany w języku VBS i ma dwie główne funkcje: automatyczne rozprzestrzenianie się na dyskach USB oraz komunikację z szerokim, elastycznym zestawem serwerów C&C. (…). LitterDrifter wydaje się być ewolucją wcześniej raportowanej aktywności, łączącej grupę Gamaredon z rozprzestrzeniającym się robakiem USB Powershell.

The LitterDrifter worm is written in VBS and has two main functionalities: automatic spreading over USB drives, and communication with a broad, flexible set of command-and-control servers. These features are implemented in a manner that aligns with the group’s goals, effectively maintaining a persistent command and control (C2) channel across a wide array of targets. LitterDrifter seems to be an evolution of a previously reported activity tying Gamaredon group to a propagating USB Powershell worm.

Checkpoint wskazuje, że malware mógł się nieco wymknąć spod kontroli, bo najpewniej głównym celem była Ukraina, jednak zgłoszenia tego „syfka” (na Virustotal) zaczęły pojawiać się z innych krajów, również z Polski:

Na pocieszenie – malware nie uruchamia się automatycznie w jakiś magiczny sposób z pendrive, ale korzysta z podpuchy – np. takiej jak na zrzucie poniżej (kto by nie chciał poznać czyjegoś hasła do Twittera ;)

W cytowanym raporcie dostępna jest też duża liczba szczegółów technicznych dotyczących całego malware. Nieco może dziwić fakt, że w dość prosty sposób udało się namierzyć infrastrukturę serwerową tego malware – która hostowana jest w całości w Rosji i do tego w domenie .ru.

~ms