Зафиксирован новый случай использования крайне редкой атаки BadUSB

Прeдыдущий случaй BadUSB был oписaн пoлтoрa гoдa нaзaд.

Кaк сooбщaют спeциaлисты ИБ-кoмпaнии Trustwave, кoмпьютeрныe сeти oднoгo изо гoстиничныx oпeрaтoрoв СШA пoдвeрглись рeдкoй aтaкe BadUSB.

Злoумышлeнники прислaли гoстиничнoму oпeрaтoру пo обычной почте письмище с поддельным подарочным сертификатом BestBuy и USB флэш-накопителем. В письме сообщалось, как будто на «флэшке» содержится синодик (убиенных) товаров, которые можно погасить с помощью подарочного сертификата. За всем тем на самом деле исполнение представляло собой то, чего ИБ-эксперты называют BadUSB – USB флэш-аккумулятор, который при подключении к компьютеру играет занятие клавиатуры и эмулирует нажатия клавиш для того запуска автоматизированных атак.

Единодушно отчету Trustwave, гостиничный телефонистка, название которого не разглашается, обнаружил попытку атаки и обратился к ИБ-компании ради помощью в расследовании.

После подключения к тестовой рабочей станции «флэшка» инициировала серию автоматизированных нажатий клавиш держи клавиатуре, запускающих PowerShell-команду. Буква команда загружала с web-сайта паче объемный PowerShell-скрипт и устанавливала вредоносный JScript-ботик. На момент проведения анализа выданный образец вредоносного ПО был незнаком специалистам Trustwave. Вероятнее в (итоге, он является кастомным и создан особо для конкретной целевой атаки.

Сквозь некоторое время похожий норма вредоносного ПО был загружен сверху VirusTotal. Как показал грядущий анализ образца специалистами Facebook и «Лаборатории Касперского», его разработчиком может толкать(ся) известная APT-группа FIN7. Кто загрузил обложка на VirusTotal, неизвестно, может, это были ИБ-специалисты, расследующие родственный случай.

Атака BadUSB впервой была описана в начале 2010-х годов и в ход долгих лет существовала только что в теории. Она отрабатывалась специалистами кайфовый время тестирований на импрегнация и учений, но в реальной жизни нападение практически не встречалась. В хвосте известный случай был описан «Лабораторией Касперского» в декабре 2018 годы.

Источник

Комментарии и уведомления в настоящее время закрыты..

Комментарии закрыты.