Исследователи компании Palo Alto Network сообщили об обнаружении новой разновидности вредоносного ПО PlugX. Вообще этот зловред известен еще с 2008 года, и первоначально использовался китайскими хакерскими группировками, имеющими, как предполагается, поддержку на правительственном уровне. Однако затем он получил широкое распространение, был «принят на вооружение» множеством хакеров, и определить сегодня организаторов атак PlugX представляется почти невозможной задачей.

Обнаруженная новая версия зловреда примечательна тем, что скрывает свою активность от файловой системы Windows. В именах вредоносных файлов и папок используется особый Unicode-символ – так называемый «неразрывный пробел». Это делает соответствующие элементы скрытыми: их можно увидеть при подключении инфицированного USB-носителя к устройствам, использующим ОС Linux, однако проводник Windows их просто не отображает.

Таким образом, пользователь не имеет представления о вредоносной нагрузке USB-накопителя и его активности. А PlugX не только инфицирует систему, но и стремится распространить себя на любой подключаемый к ней съемный носитель. При этом на данный момент лишь 9 защитных решений из 61 на платформе Virus Total распознают исполняемый файл PlugX как вредоносный. Некоторые исследователи предполагают, что новая версия вредоносного ПО могла быть разработана специально для атак на максимально защищенные системы, не имеющие по соображениям безопасности подключения к интернету. Еще одной особенностью нового PlugX является то, что он имеет отдельную версию с функцией похищения документов в формате .PDF и .DOC. Эти документы сохраняются в отдельной папке в также невидимой для пользователя директории. Правда, неясным пока остается ответ на вопрос, как сами организаторы атаки могут получить доступ к похищенным документам.