Les chercheurs de l’Unité 42 ont découvert un logiciel malveillant qui se cache dans les clés USB et qui met en danger la confidentialité de vos données
L’utilisation d’une clé USB trouvée dans la rue n’est pas du tout une bonne idée. C’est ce que nous déduisons après la découverte des chercheurs de l’Unité 42, qui ont découvert qu’il existe un virus très dangereux qui s’infiltre avec tant d’adresse dans les appareils USB qu’il est presque impossible à détecter. De plus, ce logiciel malveillant se propage très facilement à d’autres appareils et est probablement utilisé pour extraire des données des réseaux des victimes.
Comme l’expliquent les chercheurs Mike Harbison et Jen Miller-Osborn dans la publication de l’Unité 42, le logiciel malveillant en question s’appelle PlugX et existe depuis plus d’une décennie. En réalité, il a été utilisé dans des attaques cybernétiques à grande échelle, comme celle menée contre l’Agence de gestion du personnel du gouvernement américain en 2015. Compte tenu de la dangerosité de ce virus, il vaut mieux prendre des précautions et ne pas utiliser une clé USB sans propriétaire.
PlugX, le logiciel malveillant dangereux qui se cache dans les clés USB
L’équipe de l’Unité 42 enquêtait sur une attaque du groupe de rançongiciels Black Basta lorsqu’elle a découvert d’autres logiciels malveillants sur les appareils de la victime. Le plus remarquable de tous est PlugX, un virus qui infecte n’importe quel appareil USB, qu’il s’agisse d’une clé USB, d’une carte microSD ou d’une disquette, ainsi que les systèmes auxquels ils sont connectés.
C’est ainsi que fonctionne le virus PlugX sur les appareils USB / Photographie de l’Unité 42
Le grand danger de PlugX est qu’il se cache de manière très habile dans les appareils sur lesquels il est présent, ce qui rend extrêmement difficile pour les utilisateurs de le détecter. Comme l’explique l’Unité 42, il est très difficile de le trouver même dans les versions les plus récentes de Windows, il faut donc un appareil avec un logiciel Unix ou des outils d’analyse forensique très avancés.
La grande particularité de ce virus est qu’il utilise le code U+00A0, un caractère Unicode très spécial appelé « espace insécable ». C’est cet espace blanc qui fait en sorte que le fichier n’apparaisse pas dans l’explorateur, donc la victime ne sait pas qu’il est présent sur son appareil USB. D’autre part, un fichier avec l’extension .LNK est créé dans le répertoire racine de l’appareil pour que PlugX s’exécute de manière cachée.
Le danger de ce virus n’est pas seulement qu’il se cache si bien dans la clé USB, mais qu’il se propage très facilement à tous les systèmes et appareils avec lesquels il interagit. Bien sûr, il est également dangereux car il a accès aux réseaux des victimes, même lorsqu’ils sont bien protégés.
À gauche un appareil non infecté par PlugX, à droite un appareil infecté par PlugX / Photographie de l’Unité 42
Comme nous l’avons mentionné, PlugX existe depuis de nombreuses années. Au départ, il était associé à des groupes APT (Advanced Persistent Threat, menace persistente avancée en anglais) liés au gouvernement chinois, bien qu’il soit désormais utilisé par des organisations d’autres pays et des groupes de rançongiciels.
Il est clair qu’il vaut mieux ne pas utiliser de clés USB, de cartes microSD ou de disquettes que nous trouvons dans la rue, car elles pourraient contenir ce virus dangereux qui infecterait ensuite le reste de vos appareils. Il est toujours préférable d’acheter une nouvelle clé USB plutôt que de réutiliser celle d’un propriétaire inconnu. Si vous souhaitez vous protéger davantage, vous pouvez compter sur les meilleurs programmes antivirus pour PC.