您的USB驱动器可能隐藏着一些可怕的新恶意软件

专家警告称，一种利用USB驱动器的新型恶意软件正在迅速在全球蔓延。网络安全公司CheckPoint发布了一份报告，概述了一个名为CamaroDragon(也称为MustangPanda和LuminousMoth)的中国国家资助组织如何通过受感染的USB驱动程序大规模传播恶意软件。

WispRider是正在使用的主要变体的名称，它已经经历了多次迭代。它使用HopperTrick启动器通过USB进行传播，并且还具有绕过SmadAV(东南亚流行的防病毒解决方案)的功能。

该区域是恶意软件开始运行的地方，但随后它通过USB驱动器自行传播到世界其他区域。2023年初，CheckPoint事件响应小组(CPIRT)团队发现恶意软件已到达欧洲一家医疗机构。

WispRider还能够进行DLL侧载，使用属于安全软件的组件，例如G-DATATotalSecurity，以及属于游戏界两大巨头ElectronicArts和RiotGames的组件。CheckPoint通知上述公司攻击者使用了他们各自的软件。

CheckPoint表示：“使用自我传播USB恶意软件进行的攻击的普遍性和性质表明，需要防范这些攻击，即使对于可能不是此类活动直接目标的组织也是如此。”

它声称在世界其他国家发现了USB恶意软件感染，包括缅甸、韩国、英国、印度和俄罗斯。

CheckPoint还指出，WispRider与CamaroDragon最近使用的其他工具一致，例如名为TinyNote的后门和名为HorseShell的路由器固件植入。“他们都有共同的基础设施和运营目标，”CheckPoint声称。

自从欧洲医院出现该病例以来，该恶意软件已经升级。现在它具有更加统一的结构，其中USB感染器、规避模块和后门被组合成一个有效负载，而不是一组单独的合法可执行文件和侧面加载的DLL。

恶意软件组件的编码也进行了修改，所有组件的新版本现在都是用C++编写的，而USB启动器是用Delphi编写的。