„Dziękujemy za bycie lojalnym klientem, w nagrodę dajemy kartę prezentową na $50 oraz pendrive!” Cieszysz się? A nie powinieneś, bo w środku jest malware

30 marca 2020, 17:55 | W biegu | komentarzy 8
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

„Dziękujemy za bycie lojalnym klientem Best Buy. W nagrodę wysyłamy kartę prezentową na 50$. Te pieniądze możesz wydać na dowolny produkt z listy przesłanej na pendrive” – taką wiadomość w skrzynce pocztowej znaleźli pracownicy pewnej firmy, razem ze wspomnianą kartą prezentową i pendrivem, jak podaje TrustWave.

List otrzymany przez pracowników, źródło: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/would-you-exchange-your-security-for-a-gift-card/

List otrzymany przez pracowników, źródło: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/would-you-exchange-your-security-for-a-gift-card/

W rzeczywistości pendrive był urządzeniem działającym podobnie RubberDucky (o którym już na Sekuraku kilka razy pisaliśmy). Po podłączeniu, przedstawiało się ono jako klawiatura USB i w pierwszym kroku próbowało uruchomić zobfuskowany kod PowerShella. Jego zadaniem było pobranie z zewnętrznej domeny kolejnego, dłuższego kodu PowerShella, który z kolei pobierał skrypt JScript, nawiązujący połączenie z serwerem C&C (Command & Control). W trakcie analizy przez TrustWave, do C&C były wysyłane tylko pewne ogólne informacje o systemie operacyjnym i użytkownik, natomiast kod napisany był w taki sposób, że alternatywnie mógł zostać wykonany dowolny inny kod.

Jest to kolejny przykład ataku, który przypomina, by nie podłączać do swojego komputera urządzeń USB pochodzących z niezaufanych źródeł.

— mb 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. maly

    format nośnika nie załatwia spawy? przy wyłączonym autostarcie

    Odpowiedz
    • Kermit

      Klawiaturę chcesz formatować?
      „Po podłączeniu, przedstawiało się ono jako klawiatura USB […]”

      Odpowiedz
  2. Formatc

    Czy format lub zerowanie dobrze wyczyszczą USB? Czy coś może zostać?

    Odpowiedz
    • Sempol

      To atak sprzętowy. W środku jest ATMEGA32U4 najprawdopodobniej. Microchip może być tak zaprogramowany aby emulował klawiaturę. Wysyła ciąg znaków i zatwierdza enterem. Jedynie przeprogramować takiego pendrive można.

      Odpowiedz
  3. Virage

    Zalezy czy w srodku jest pamiec usb czy jakis inny uklad emulujacy pamiec, w tekscie mowia ze jako klawiatura usb sie instaluje wiec moze byc roznie

    Odpowiedz
  4. Przemek

    Update firmware powinien załatwić sprawę

    Odpowiedz
  5. m.

    A najgłupsza rzecz – trzymać dowolny klawisz na swojej klawiaturze? Powinni skutecznie zablokować możliwość wpisania przez urządzenie poprawnej komendy.

    Odpowiedz
    • Jacek

      Jasne to sobie odłącz klawiaturę i pisz. Przeczytaj raz jeszcze uważnie. Nawane jest to urządzenie pendrive a w rzeczywistości to system widzi jako klawiaturę.

      Odpowiedz

Odpowiedz