Quello dei virus è un mondo in rapida evoluzione, tanto quanto i sistemi di sicurezza e cerca costantemente di adattarsi alle nuove necessità. Virus come Trojan, che fanno ampio uso della crittografia per impedire l’analisi e nascondere i dati, vengono adesso distribuiti attraverso unità USB e sembra siano progettati per rubare informazioni dai computer che non sono connessi a Internet e fanno uso dell’air gap – una tecnica informatica utilizzata per mettere in sicurezza sistemi o reti LAN. Spesso si crede che evitando di collegare un computer ad internet si possa evitare di incappare in malware come Trojan o affiliati. Purtroppo però non è così, poiché anche una semplice chiavetta USB può contenere file dannosi per il funzionamento del vostro computer, o peggio ancora per la sicurezza dei vostri dati personali, o ancora del vostro denaro.
Il nuovo Trojan è stata soprannominato Thief USB dai ricercatori di sicurezza dalla ditta antivirus ESET, i quali avvertono che possiede caratteristiche assai diverse, che lo differenziano dai tradizionali programmi malware che si diffondono utilizzando dispositivi di memoria USB e la funzione di esecuzione automatica di Windows.
Prima di tutto, il virus USB Thief agisce infettando la chiavetta USB che contiene installazioni portatili delle applicazioni più diffuse come browser per internet o altre applicazioni comuni per il funzionamento di un pc. E’ copiato a tali programmi in un plug-in o tramite un DLL (Dynamic Link Library) e viene quindi eseguito insieme a tali applicazioni.
In alcuni casi, soprattutto quando si tratta di computer datato di air gap, gli utenti possono eseguire temporaneamente un’applicazione direttamente da una chiavetta USB in modo da evitare l’installazione sul computer stesso. Ci sono versioni portatili di molte applicazioni popolari che non lasciano alcun file o voci di registro sul sistema dopo l’uso.
I l rischio non è soltanto per gli utenti poco esperti, ma anche per gli addetti ai lavori. Infatti la pratica comune anche tra i tecnici o amministratori di sistemi che si trovano spesso a dover risolvere specifici problemi sui computer degli utenti, è quella di portare sempre con sé una chiavetta USB con le versioni portatili dei loro strumenti preferiti. Ciò costituisce il canale privilegiato per la diffusione del virus da un pc all’altro.
La difficoltà sta nel fatto che l’USB Thief Trojan è un malware a più stadi, composto da tre stadi eseguibili, ognuno di essi carica il componente successivo della catena. In tutto: due file di configurazione crittografati e un payload finale.
Il primo calcola un hash SHA512 dei propri contenuti in combinazione con la propria data di creazione e tenterà di eseguire un file il cui nome corrisponde a quello di hash. Questo sarebbe il secondo loader, che controllerà se è stato avviato dalla casa madre corretta e quindi tenterà di decifrare un file di configurazione il cui nome è l’hash SHA512 dei propri contenuti ed i tempi di creazione di TAMP.
Il file di configurazione è cifrato con l’algoritmo AES128 e la chiave viene calcolata dall’ID univoco del dispositivo USB combinato con le sue proprietà del disco. Il secondo loader quindi tenterà di eseguire un terzo caricatore, il cui nome è l’hash SHA512 del contenuto del file di configurazione e della sua data di creazione, e così via.
Il payload finale viene inserito in un nuovo processo svchost.exe di Windows, che legge le istruzioni del secondo file di configurazione criptato. Queste istruzioni definiscono quali informazioni rubare dal computer e come crittografarlo. Una volta che la chiavetta USB è stata rimossa, sul computer non resta nessuna traccia della presenza e dell’attività svolta dal virus. Questi livelli di crittografia rendono estremamente difficile analizzare il malware senza l’accesso fisico al dispositivo USB specifico, perché i file di configurazione non potranno essere decifrati senza l’ID unico della chiavetta USB.