Eksperci z firmy ESET wykryli nietypowe zagrożenie, którego działanie może sugerować, że powstało na specjalne zamówienie, a jego celem jest atak na konkretne firmy. Wirus przenosi się wyłącznie za pośrednictwem urządzeń USB, a jego jedynym celem jest kradzież danych z komputerów, do których podłączony zostanie nośnik. Zagrożenie działa jak profesjonalny szpieg – nie pozostawia śladów swojego działania na zaatakowanym komputerze, nie pozwala zidentyfikować jakie dokumenty zostały wykradzione, a wykrycie jego działania jest bardzo trudne.
Nowe zagrożenie, które programy antywirusowe ESET wykrywają jako Win32/PSW.Stealer.NAI, rozprzestrzenia się wyłącznie za pomocą dysków USB. Wirus ukrywa się jako złośliwy komponent jednej z trzech aplikacji w wersji przenośnej (tzw. portable) - Firefox, NotePad++ lub TrueCrypt. Jeśli użytkownik komputera wetknie pendrive ze wspomnianym zagrożeniem do portu USB, a następnie uruchomi aplikację, Win32/PSW.Stealer.NAI rozpocznie swoje działanie. Zagrożenie działa bezpośrednio z poziomu urządzenia USB, nie infekując dysku twardego atakowanej maszyny. Bez wiedzy użytkownika wirus kradnie wybrane dane z zaatakowanej maszyny. Skradzione pliki zapisuje na pamięci USB, która rozpoczęła atak.
To, co sprawia, że zagrożenie jest niecodzienne, to fakt, że jego twórca bardzo dokładnie przemyślał cały proces ataku. Celem wirusa jest kradzież danych z konkretnych komputerów. Z kolei sposób ataku, ograniczony wyłącznie do nośników USB ze spreparowaną zawartością, sugeruje, że atakowane mają być maszyny odizolowane od Internetu, a więc często niezabezpieczone programem antywirusowym. Jeśli takie komputery posiadają zabezpieczenie, to z uwagi na brak połączenia z Internetem, baza sygnatur wirusów może być nieaktualna. Niektóre komponenty wirusa znajdującego się na dysku USB są szyfrowane i w ten sposób dodatkowo zabezpieczone przed możliwością pełnej analizy działania zagrożenia. Złośliwy plik jest aktualnie niewykrywany przez większość antywirusów i nie pozostawia żadnych trwałych śladów swojego działania na komputerze. Nie sposób także określić jakie dane, po zrealizowanym ataku, zostały wykradzione przez wirusa.
- Biorąc pod uwagę fakt, że zagrożenie rozprzestrzenia się wyłącznie za pomocą pamięci USB i posiada mechanizmy zabezpieczające przed wyciekiem z zainfekowanego sprzętu, można przypuszczać, że zostało zaprojektowane w celu przeprowadzania ataków targetowanych na systemy odcięte od Internetu – mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET.
Jak podkreśla Kamil Sadkowski, ochrona przed tego typu zagrożeniami jest wyjątkowo trudna. W wypadku sieci firmowej zalecane jest, by administratorzy ograniczali użytkownikom dostęp do portów USB, np. z poziomu aplikacji antywirusowej. Przyda się również zdrowy rozsądek i postępowanie zgodnie z zasadą, by do nośników otrzymanych z nieznanych źródeł lub znalezionych przypadkowo, zawsze podchodzić z rezerwą.