Эксперты компании Trustwave опубликовали отчет, в котором рассказали, как неназванной американской компании из сферы гостиничных услуг прислали по почте поддельную подарочную карту BestBuy вместе с вредоносной USB-флешкой. В сопровождающем письме было сказано, что накопитель нужно подключить к компьютеру, чтобы получить доступ к списку товаров, для которых можно использовать подарочную карту.  Подобные направленные атаки BadUSB встречаются на практике крайне редко.

Напомню, что BadUSB — это класс атак, который позволяет при помощи девайсов вроде Rubber Ducky захватить контроль над многими устройствами, у которых есть порт USB. Таким образом можно эмулировать любую периферию, но чаще всего преступники подделывают клавиатуру.

Эксперты Trustwave рассказывают, что сотрудники компании-жертвы сочли письмо подозрительным и  обратились к ним за помощью в расследовании инцидента.

Как выяснили исследователи, после подключения BadUSB к тестовой рабочей станции флешка запустила команду PowerShell (посредством серии автоматических нажатий клавиш). В свою очередь эта команда загрузила более объемный PowerShell- скрипт с удаленного сайта, а затем установила на тестовую машину малварь — бота на основе JScript.

Эксперты Trustwave рассказали изданию ZDNet, что уже после первоначального анализа файл, похожий на анализируемую малварь, был загружен в VirusTotal. Согласно последующему анализу, проведенному специалистами Facebook и «Лаборатории Касперского», файл, вероятно, связан с известной хакерской группировкой FIN7 (она же Carbanak, Carbon Spider, Anunak). Неясно, кто загрузил файл на VirusTotal. Возможно, это сделали другие ИБ-специалисты, которые так же расследуют атаку BadUSB на другую жертву.

Напомню, что последний раз практическую атаку типа BadUSB описывали исследователи «Лаборатории Касперского» в декабре 2018 года.  Тогда стало известно об атаках на банки, получивших название DarkVishnya. В рамках этой кампании злоумышленники использовали специальный инструмент для проведения USB-атак Bash Bunny, по габаритам сопоставимый с обычной USB-флешкой.

Теги: CSS