Эксперты компании Trustwave опубликовали отчет, в котором рассказали, как неназванной американской компании из сферы гостиничных услуг прислали по почте поддельную подарочную карту BestBuy вместе с вредоносной USB-флешкой. В сопровождающем письме было сказано, что накопитель нужно подключить к компьютеру, чтобы получить доступ к списку товаров, для которых можно использовать подарочную карту.  Подобные направленные атаки BadUSB встречаются на практике крайне редко.

Напомню, что BadUSB — это класс атак, который позволяет при помощи девайсов вроде Rubber Ducky захватить контроль над многими устройствами, у которых есть порт USB. Таким образом можно эмулировать любую периферию, но чаще всего преступники подделывают клавиатуру.

Эксперты Trustwave рассказывают, что сотрудники компании-жертвы сочли письмо подозрительным и  обратились к ним за помощью в расследовании инцидента.

Как выяснили исследователи, после подключения BadUSB к тестовой рабочей станции флешка запустила команду PowerShell (посредством серии автоматических нажатий клавиш). В свою очередь эта команда загрузила более объемный PowerShell- скрипт с удаленного сайта, а затем установила на тестовую машину малварь — бота на основе JScript.

«На момент проведения анализа нам не удалось обнаружить другого подобного штамма малвари. Вредоносная программа нам неизвестна. Сложно сказать, была ли она создана по индивидуальному заказу, но, вероятно, так и есть, потому как она не очень широко распространена и, похоже, таргетирована», — рассказывают специалисты.

Эксперты Trustwave рассказали изданию ZDNet, что уже после первоначального анализа файл, похожий на анализируемую малварь, был загружен в VirusTotal. Согласно последующему анализу, проведенному специалистами Facebook и «Лаборатории Касперского», файл, вероятно, связан с известной хакерской группировкой FIN7 (она же Carbanak, Carbon Spider, Anunak). Неясно, кто загрузил файл на VirusTotal. Возможно, это сделали другие ИБ-специалисты, которые так же расследуют атаку BadUSB на другую жертву.

«Подобные атаки [BadUSB] часто моделируются во время пентестов и используются во время учений red team. Но в реальном мире атаки такого типа встречаются гораздо реже», — говорят эксперты Trustwave.

Напомню, что последний раз практическую атаку типа BadUSB описывали исследователи «Лаборатории Касперского» в декабре 2018 года.  Тогда стало известно об атаках на банки, получивших название DarkVishnya. В рамках этой кампании злоумышленники использовали специальный инструмент для проведения USB-атак Bash Bunny, по габаритам сопоставимый с обычной USB-флешкой.

Оставить мнение