Eset oznaczył windowsowe narzędzie stosowane przez grupę cyberprzestępców jako Win32/USBStealer. Zagrożenie atakuje pojedyncze komputery w tzw. ,,air-gapped networks”, czyli sieciach komputerów nie podłączonych do Internetu. Celem zagrożenia jest uzyskanie dostępu do określonych plików. USBStealer przenoszony jest z komputera (A) z dostępem do Internetu do komputera (B) bez dostępu do sieci przy użyciu nośnika wymiennego, np. pendrive’a czy dysku przenośnego.
Komputer A początkowo zostaje zainfekowany zagrożeniem USBStealer, które próbuje naśladować rosyjski program o nazwie USB Disk Security. Ten prawdziwy chroni komputer przed zainfekowaniem, natomiast ten od cyberprzestępców infekuje maszynę. Po zagnieżdżeniu się w systemie Win32/USBStealer monitoruje wszystkie dyski wymienne podłączane do komputera. Po włożeniu dysku USB do komputera A, zagrożenie kopiuje się na dysk wymienny w postaci pliku o nazwie,,USBGuard.exe”. Tworzy na dysku wymiennym także plik o nazwie “autorun.inf”, który odpowiada za uruchomienie zagrożenia po podłączeniu wymiennego nośnika USB do komputera B. Win32/USBStealer wykonuje różne czynności w celu uzyskania dostępu do określonych plików z komputera, np. tych, w których przechowywane są prywatne klucze wykorzystywane do szyfrowania danych.
Eksperci bezpieczeństwa Eset podkreślają, że grupa Sednit atakuje różne instytucje, w większości zlokalizowane w Europie Wschodniej, od przynajmniej 5 lat. W ubiegłym miesiącu eksperci Eset jako pierwsi odkryli, że cyberprzestępcy przeprowadzili atak za pośrednictwem strony internetowej znanej polskiej instytucji finansowej. Wykorzystywali do tego celu zestaw exploitów o nazwie Sedkit.