Uma nova variante do worm PlugX está cruzando silenciosamente fronteiras escondendo-se dentro de unidades USB, e já foi detectada em múltiplos continentes abrangendo quase dez fusos horários. Primeiro avistado na Papua Nova Guiné em agosto de 2022, o worm ressurgiu em janeiro de 2023 tanto na Papua Nova Guiné quanto no Gana — dois países aproximadamente 16.000 quilômetros de distância. Infecções foram posteriormente confirmadas na Mongólia, Zimbábue e Nigéria, tornando este um dos surtos de malware mais geograficamente espalhados em memória recente.
Conexão com APT Mustang Panda
O PlugX em si não é novo. É um Trojan de Acesso Remoto (RAT) bem conhecido de origem chinesa que tem sido usado por atores de ameaça por anos. O que torna esta variante particularmente distinta é um payload fresco e suas ligações a um servidor de comando e controle (C2) que não estava anteriormente ligado de perto a esta família de malware. As técnicas observadas durante a investigação alinham-se com o comportamento conhecido do PKPLUG, também chamado Mustang Panda — um grupo de ameaça persistente avançada (APT) ligado à China.
Técnica de DLL Sideloading
O worm usa DLL sideloading — uma técnica onde um aplicativo legítimo é enganado para carregar uma biblioteca maliciosa em vez da real — para executar seu código sem levantar suspeitas imediatas. O pacote de infecção consiste em um executável legítimo AvastSvc.exe vulnerável ao DLL sideloading, uma DLL maliciosa chamada wsc.dll e um arquivo de payload criptografado. Todos os três componentes trabalham juntos para executar silenciosamente o backdoor PlugX em uma máquina comprometida.
Evasão Baseada em USB
O mecanismo de infecção nesta variante PlugX é construído em torno do engano. Quando o worm copia a si mesmo para uma unidade USB, ele usa strings de mutex específicas — USB_NOTIFY_COP e USB_NOTIFY_INF — para gerenciar a operação. Uma vez copiado, a unidade USB aparece completamente vazia para uma visualização comum do Windows Explorer. O que a vítima realmente vê é um arquivo de atalho projetado para parecer outro disco removível, completo com um ícone de unidade correspondente.
Se um usuário clica no atalho, ele executa silenciosamente o executável CEFHelper — que é na verdade o arquivo AvastSvc.exe renomeado. Este disfarce é deliberado. O worm o nomeia após um processo legítimo da Adobe para evitar atenção. Todos os outros arquivos e diretórios maliciosos recebem atributos ocultos e de sistema, tornando-os invisíveis por padrão nas listagens de arquivos padrão.
Armazenamento e Exfiltração
O worm armazena todos os seus arquivos dentro de um diretório chamado RECYCLER.BIN e cria um arquivo desktop.ini que faz o Windows tratar esta pasta como uma Lixeira real. Isso significa que arquivos excluídos do disco rígido real da vítima aparecem lá, mascarando ainda mais a presença do worm. Dentro do RECYCLER.BIN, o malware atinge documentos incluindo .doc, .docx, .xls, .xlsx, .ppt, .pptx e .pdf, criptografa-os e os salva com nomes de arquivo codificados em base64 para exfiltração.
Recomendações para Equipes de TI
Organizações devem tratar conexões de unidades USB como um risco sério, especialmente em ambientes que lidam com documentos sensíveis ou dados confidenciais. Desabilitar AutoRun e AutoPlay para todos os mídias removíveis é uma primeira medida básica mas eficaz. Equipes de TI também devem configurar seus sistemas para mostrar arquivos ocultos e de sistema por padrão, o que pode ajudar a identificar diretórios suspeitos como RECYCLER.BIN.
Monitorar regularmente o tráfego de saída C2 e implantar proteção de endpoint capaz de capturar atividade de DLL sideloading permanecem etapas críticas para qualquer organização enfrentando este tipo de ameaça direcionada. A detecção precoce é essencial, pois o worm já demonstrou capacidade de se espalhar através de múltiplos continentes em um curto período de tempo.
Perguntas Frequentes
Qual é o principal vetor de infecção? O vetor principal é a conexão de unidades USB infectadas que contêm o worm disfarçado.
Como identificar a infecção? Procure por diretórios RECYCLER.BIN em unidades USB, arquivos ocultos e tráfego de rede incomum para IPs de C2 conhecidos.
Qual grupo está por trás? As técnicas observadas alinham-se com o APT Mustang Panda (PKPLUG), um grupo ligado à China.