I malware USB rinascono più pericolosi che mai. Gli hacker cinesi veicolano Sogu, il malware che sta infettando vittime in tutto il mondo

I tempi in cui le chiavette USB erano uno strumento principale per la distribuzione di malware sembrava ormai passato. Tuttavia, secondo la società di sicurezza Mandiant, dall’inizio dello scorso anno il gruppo di hacker cinese UNC53 ha attaccato con questo metodo almeno diversi obiettivi in tutto il mondo.

Secondo Mandiant, la maggior parte delle infezioni si verificano nei paesi africani, tra cui Egitto, Zimbabwe, Tanzania, Kenya, Ghana e Madagascar. Il virus, noto come Sogu, in alcuni casi è stato diffuso attraverso i computer pubblici negli Internet café e nelle tipografie.

Il vecchio metodo di infezione si è dimostrato sorprendentemente efficace, soprattutto nei paesi in via di sviluppo dove le unità flash sono ancora ampiamente utilizzate. Ciò è particolarmente vero per le aziende multinazionali con dipendenti remoti in queste regioni.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Sogu utilizza una serie di metodi semplici ma sofisticati per infettare i computer e rubare dati. 

Il malware è in grado di infettare anche i sistemi in reti Air Gap che non sono collegati a Internet. Una volta installato su un computer, il malware stabilisce una connessione a un server remoto, dove vengono inviati i dati rubati. Il metodo consente agli hacker criminali di creare un’ampia rete di sistemi infetti da cui selezionare le vittime più preziose. “Ciò significa che gli hacker dispongono di risorse umane sufficienti per elaborare le informazioni rubate”, hanno osservato i ricercatori.

Sorprendentemente, Sogu è solo una parte di una più ampia rinascita di virus USB segnalata a luglio. Inoltre, a giugno, i ricercatori di sicurezza di Check Point hanno scoperto che il gruppo cinese Camaro Dragon (Mustang Panda) sta utilizzando un nuovo ceppo di malware chiamato WispRider, progettato per rubare dati il quale viene distribuito tramite unità USB compromesse.

I paesi africani sono già stati esposti a virus informatici. A marzo, ad esempio, sono state scoperte numerose infezioni causate dal worm USB PlugX in Africa, Papua Nuova Guinea e Mongolia. PlugX è in grado di raccogliere informazioni di sistema, aggirare antivirus e firewall, gestire file utente, eseguire codice dannoso e persino fornire agli aggressori l’accesso remoto a un computer infetto.

I ricercatori sottolineano che i professionisti della sicurezza non dovrebbero considerare risolto il problema dei virus USB, soprattutto nelle reti globali che includono operazioni nei paesi in via di sviluppo. Ad esempio, in Nord America e in Europa, i ricercatori ritengono che questo sia un vettore legacy che è stato eliminato, ma ci sono vulnerabilità in altre regioni geografiche che vengono ancora sfruttate.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.