Предыдущий случай BadUSB был описан полтора года назад.
Как сообщают специалисты ИБ-компании Trustwave, компьютерные сети одного из гостиничных операторов США подверглись редкой атаке BadUSB.
Злоумышленники прислали гостиничному оператору по обычной почте письмо с поддельным подарочным сертификатом BestBuy и USB флэш-накопителем. В письме сообщалось, что на «флэшке» содержится список товаров, которые можно оплатить с помощью подарочного сертификата. Однако на самом деле устройство представляло собой то, что ИБ-эксперты называют BadUSB – USB флэш-накопитель, который при подключении к компьютеру играет роль клавиатуры и эмулирует нажатия клавиш для запуска автоматизированных атак.
Согласно отчету Trustwave, гостиничный оператор, название которого не разглашается, обнаружил попытку атаки и обратился к ИБ-компании за помощью в расследовании.
После подключения к тестовой рабочей станции «флэшка» инициировала серию автоматизированных нажатий клавиш на клавиатуре, запускающих PowerShell-команду. Эта команда загружала с web-сайта более объемный PowerShell-скрипт и устанавливала вредоносный JScript-бот. На момент проведения анализа данный образец вредоносного ПО был незнаком специалистам Trustwave. Вероятнее всего, он является кастомным и создан специально для конкретной целевой атаки.
Через некоторое время похожий образец вредоносного ПО был загружен на VirusTotal. Как показал дальнейший анализ образца специалистами Facebook и «Лаборатории Касперского», его разработчиком может быть известная APT-группа FIN7. Кто загрузил файл на VirusTotal, неизвестно, возможно, это были ИБ-специалисты, расследующие похожий случай.
Атака BadUSB впервые была описана в начале 2010-х годов и в течение долгих лет существовала лишь в теории. Она отрабатывалась специалистами во время тестирований на проникновение и учений, но в реальной жизни атака практически не встречалась. Последний известный случай был описан «Лабораторией Касперского» в декабре 2018 года.
Узнайте как на нашем канале