Operação policial contra o malware PlugX
29 de Julho de 2024

As autoridades judiciais francesas, em colaboração com a Europol, lançaram uma chamada "operação de desinfecção" para eliminar o malware conhecido como PlugX de hosts comprometidos.

A Procuradoria de Paris, Parquet de Paris, informou que a iniciativa começou no dia 18 de julho e deve continuar por "vários meses".

Além disso, foi mencionado que cerca de cem vítimas localizadas na França, Malta, Portugal, Croácia, Eslováquia e Áustria já se beneficiaram dos esforços de limpeza.

O desenvolvimento acontece quase três meses após a empresa francesa de cibersegurança Sekoia divulgar que conseguiu controlar um servidor de comando e controle (C2) ligado ao trojan PlugX em setembro de 2023, gastando $7 para adquirir o endereço IP.

Foi observado também que quase 100.000 endereços IP públicos únicos estavam enviando diariamente solicitações ao domínio apreendido.

PlugX (também conhecido como Korplug) é um trojan de acesso remoto (RAT) amplamente utilizado por atores de ameaças com vínculo à China desde pelo menos 2008, ao lado de outras famílias de malware como Gh0st RAT e ShadowPad.

O malware é tipicamente lançado dentro de hosts comprometidos usando técnicas de carregamento lateral de DLL, permitindo que atores de ameaças executem comandos arbitrários, façam upload/download de arquivos, enumerem arquivos e coletem dados sensíveis.

"Este backdoor, inicialmente desenvolvido por Zhao Jibin (também conhecido como WHG), evoluiu ao longo do tempo em diferentes variantes," disse a Sekoia em abril deste ano.

O construtor do PlugX foi compartilhado entre vários conjuntos de intrusão, a maioria deles atribuída a empresas de fachada ligadas ao Ministério da Segurança do Estado Chinês.

Ao longo dos anos, o malware também incorporou um componente propagável via USB, que permite sua propagação por meio de unidades USB infectadas, contornando efetivamente redes isoladas (air-gapped).

A Sekoia, que desenvolveu uma solução para deletar o PlugX, disse que variantes do malware com mecanismo de distribuição USB vêm com um comando de auto-deleção ("0x1005") para removê-lo das estações de trabalho comprometidas, apesar de não haver atualmente uma forma de removê-lo dos dispositivos USB em si.

"Primeiramente, o worm tem capacidade de existir em redes isoladas, o que torna essas infecções fora do nosso alcance," afirmou.

Em segundo lugar, e talvez mais notável, o worm PlugX pode residir em dispositivos USB infectados por um longo período sem estar conectado a uma estação de trabalho.

Devido às complicações legais envolvidas na remoção remota do malware dos sistemas, a empresa também observou que está delegando a decisão para os times nacionais de resposta a emergências de computador (CERTs), agências de aplicação da lei (LEAs) e autoridades de cibersegurança.

"Seguindo um relatório da Sekoia.io, foi lançada uma operação de desinfecção pelas autoridades judiciais francesas para desmantelar a botnet controlada pelo worm PlugX. O PlugX afetou várias milhões de vítimas em todo o mundo," disse a Sekoia ao The Hacker News.

Uma solução de desinfecção desenvolvida pela equipe de TDR da Sekoia.io foi proposta via Europol aos países parceiros e está sendo implantada neste momento.

Estamos satisfeitos com a cooperação produtiva com os atores envolvidos na França (seção J3 do Ministério Público de Paris, Polícia, Gendarmaria e ANSSI) e internacionalmente (Europol e forças policiais de países terceiros) para tomar medidas contra atividades cibernéticas maliciosas de longa duração.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...