Подарочные карты Best Buy и USB-накопитель по почте

Подарочные карты Best Buy и USB-накопитель по почте

Каждый хочет получить бесплатно подарочную карту Best Buy на сумму $ 50 и USB диск по почте, но, как говорится, ничего никогда по-настоящему не бывает бесплатно.

По сообщению, Trustwave банда злоумышленников собрала уникальный профиль атаки, основанный на человеческой слабости, жажде бесплатного. Фактически подобные атаки известны с первых дней киберпреступности. Атака начинается с фактического бумажного письма по почте через Почтовую службу США, направленного к конкретной цели. Данное письмо содержит сообщение социальной инженерии, предназначенное, чтобы побудить получателей подключить USB-накопитель к своему компьютеру.

В письме говорилось, что подарочная карта Best Buy предназначена для данного клиента и что USB диск содержит список продуктов, которые можно приобрести с этой картой. Неудивительно, что на подарочной карте нет ничего, но USB приходит с сюрпризом. На нем вредоносные программы.

Исследователи обнаружили, что микроконтроллер ARDuino USB-диска был запрограммирован на эмуляцию USB-клавиатуры. Это метод запутывания, так как большинство программного обеспечения безопасности по умолчанию позволяет USB клавиатуру для подключения. После вставки диска вводится полезная нагрузка и загружается дополнительный код.

«Такие атаки с использованием USB-устройств широко известны и используются специалистами по безопасности. Тот факт, что они также дешевы и легко доступны для всех означает, что это лишь вопрос времени, чтобы увидеть этот метод, используемый преступниками «в дикой природе».

Тот факт, что USB-накопители являются повседневным предметом, делает их менее угрожающими для среднего человека, не подозревая, что они могут быть использованы в злонамеренных целях.

Поддельное сообщение затем всплывает на экране. В нем сообщается, что USB устройство не узнается, возможно, чтобы запутать жертву, что что-то происходит. На этом этапе загружается дополнительный JavaScript для регистрации зараженного устройства с командным сервером. Затем сервер C2 отправляет некоторые закодированные данные, содержащие программное обеспечение для кражи информации.

На данный момент с устройства берется большое количество информации:

  • Пользователь
  • Наименование узла
  • Системная привилегия пользователя

Использует запрос WMI для получения:

  • Владелец процесса
  • Доменное имя
  • Компьютерная модель
  • Информация об операционной системе
  • Установлен ли Office и Adobe Acrobat
  • Список запущенных процессов (включая PID)
  • Работает ли зараженный хост в виртуализированной среде

Вредоносная программа входит в цикл и активирует каждые две минуты, когда она может получать дополнительные команды с сервера C2.

По мотивам

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Владимир Безмалый

О безопасности и не только