Especialistas da Trustwave publicou um relatório, em que disseram que a empresa americana foi exposta a um raro ataque através do BadUSB. Uma empresa hoteleira americana não identificada recebeu pelo correio um vale-presente falso da BestBuy junto com um pendrive malicioso.
A carta que acompanha dizia que o drive deve estar conectado a um computador para acessar a lista de produtos para os quais você pode usar um cartão-presente.
Esses ataques direcionados do BadUSB são extremamente raros na prática.
Deixe-me lembrar que BadUSB é uma classe de ataques que permite usar ferramentas como o Rubber Ducky para assumir o controle de vários dispositivos que possuem uma porta USB. Desta maneira, você pode emular qualquer periférico, mas na maioria das vezes os criminosos falsificam um teclado.
“A empresa vítima achou a carta suspeita e pediu ajuda para investigar o incidente”, – dizem especialistas da Trustwave.
Como descobriram os pesquisadores, depois de conectar o BadUSB à estação de trabalho de teste, a unidade flash iniciou o comando PowerShell (através de uma série de pressionamentos automáticos de teclas). Por sua vez, este comando baixou um script PowerShell mais volumoso de um site remoto, e então instalei um bot de malware – um bot baseado em JScript – na máquina de teste.
“No momento da análise, não conseguimos encontrar outra cepa semelhante de malvari. O malware é desconhecido para nós. É difícil dizer se foi criado por encomenda individual, mas provavelmente foi, porque não é muito difundido e parece ser direcionado”, – dizem os especialistas.
Especialistas da Trustwave disse ao ZDNet que após a análise inicial, a arquivo semelhante ao malware foi carregado no VirusTotal para análise.
De acordo com uma análise posterior por especialistas do Facebook, o arquivo provavelmente está associado ao conhecido grupo de hackers FIN7 (também conhecido como Carbanak, Aranha de Carbono, Anunaque). Não está claro quem enviou o arquivo para o VirusTotal. Talvez outros especialistas em segurança da informação que também estão investigando o ataque BadUSB a outra vítima tenham feito isso.
"Semelhante [USB ruim] os ataques são frequentemente modelados durante pentests e usados durante exercícios da equipe vermelha. Mas no mundo real, ataques deste tipo são muito menos comuns”, – dizem especialistas da Trustwave.
Deixe-me lembrá-lo que a última vez Pesquisadores da Kaspersky Lab descreveram um ataque prático do tipo BadUSB em dezembro 2018. Então ficou conhecido sobre os ataques aos bancos, chamado DarkVishnya. Como parte desta campanha, os invasores usaram uma ferramenta especial para realizar ataques USB Bash Bunny, comparável em tamanho a uma unidade flash USB normal.
Por favor, leia sobre other serious dangers of USB devices.