Троян для Windows специализируется на краже данных из изолированных air-gapped компьютеров

[ComodoHacker]

А вектор заражения? Социнженерия?
Принести флешку в защищеную сеть и запустить с нее Notepad++?.. Что-то никакого разумного сценария в голову не приходит.

[soniq]

Похоже, это такой способ пронести payload в сеть "средней защищенности". Когда флешки еще можно таскать, но их уже иногда проверяют, и вообще смотрят кто чем занимается.

[Adamantium]

По статье не понятен механизм передачи файлов с air-gapped машин данным вредоносным ПО.
Да, на накопитель файлы скопированы, а дальше что? Должен же быть предусмотрен механизм передачи украденной информации на сервера злоумышленников. Значит, должна быть или модификация данного трояна и для машин, соединенных с интернет, или что-то ещё.
Или, как это часто бывает, «исследования продолжаются»?

[soniq]

Нет, они дроппер этой гадости закидывают на комп админа с этой стороны интернета. А потом она на флешке этого админа (а кто еще будет на флешке таскать портабельный Notepad++??) выползает в защищенную сеть, и так же, на его флешке уходит обратно.

[Adamantium]

То есть, получается что и машина админа заражена? Чем-то, что умеет скидывать описанную в посте заразу на флешку (то есть дроппер трояна), а также считывать украденные данные с флешки и передавать в интернет (а иначе зачем вообще заражать?).
Вот этот конкретно момент и не описан толком.

[imm]

Правильно ли я понял, что — троян с флешки — это лишь модуль для скрытой кражи данных
вы анализировали только троян т.к. других файлов для анализа не получили
предполагаемая цель — вставить флешку в исходный компьютер (генератор трояна-модуля), чтобы «материнская программа», расшифровав данные по Device ID флешки, отправила их злоумышленнику?

[esetnod32]

Да, это один из наиболее вероятных сценариев..

[esetnod32]

Да, это один из наиболее вероятных сценариев..