„Dziękujemy za bycie lojalnym klientem, w nagrodę dajemy kartę prezentową na $50 oraz pendrive!” Cieszysz się? A nie powinieneś, bo w środku jest malware

„Dziękujemy za bycie lojalnym klientem Best Buy. W nagrodę wysyłamy kartę prezentową na 50$. Te pieniądze możesz wydać na dowolny produkt z listy przesłanej na pendrive” – taką wiadomość w skrzynce pocztowej znaleźli pracownicy pewnej firmy, razem ze wspomnianą kartą prezentową i pendrivem, jak podaje TrustWave.

List otrzymany przez pracowników, źródło: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/would-you-exchange-your-security-for-a-gift-card/

W rzeczywistości pendrive był urządzeniem działającym podobnie RubberDucky (o którym już na Sekuraku kilka razy pisaliśmy). Po podłączeniu, przedstawiało się ono jako klawiatura USB i w pierwszym kroku próbowało uruchomić zobfuskowany kod PowerShella. Jego zadaniem było pobranie z zewnętrznej domeny kolejnego, dłuższego kodu PowerShella, który z kolei pobierał skrypt JScript, nawiązujący połączenie z serwerem C&C (Command & Control). W trakcie analizy przez TrustWave, do C&C były wysyłane tylko pewne ogólne informacje o systemie operacyjnym i użytkownik, natomiast kod napisany był w taki sposób, że alternatywnie mógł zostać wykonany dowolny inny kod.

Jest to kolejny przykład ataku, który przypomina, by nie podłączać do swojego komputera urządzeń USB pochodzących z niezaufanych źródeł.

— mb