Einige Malware-Angriffe können extrem machiavellistisch sein. Dies ist ein kürzlicher Fall von Cyber-Experten bei Trust analysiert.
Ein seltener BadUSB Angriff Going Under Analysis
Der Angriff in Frage wurde sehr gezielt, und einen sehr gerissenen Social-Engineering-Tricks zum Einsatz, eine gefälschte Geschenkkarte und physische Medien, als „rubber ducky“ bekannt ist. Ein „gummiducky“ ist eine bösartige USB-Tastatur mit Tastenanschlägen vorbelastet, die aussieht wie ein normaler USB-Stick.
"Diese Art von Angriffen sind in der Regel so explizit ausgerichtet, dass es selten ist sie von den tatsächlichen Angreifern in der freien Natur kommen zu finden. Selten, aber immer noch da draußen," Trust sagt.
Das Ziel?
Eine ungenannte US Gastfreundschaft Anbieter. Das Unternehmen erhielt einen Umschlag, enthaltend ein gefälschte BestBuy Geschenkkarte und ein USB-Stick. Das Unternehmen wurde angewiesen, den USB-Stick in einen Computer anschließen eine Liste von Elementen für den Zugriff für die Geschenkkarte verwendet werden. Jedoch, der USB eine „Rubber Ducky“ auch als BadUSB bekannt erwies sich als – ein sehr seltener Angriff, die als eine Tastatur, wenn an einen PC angeschlossen. Der Angriff emuliert Drücken von Tasten Ziel, eine Reihe von automatisierten Angriffen zu starten.
Die gute Nachricht ist, dass die angesprochenen Unternehmen vermuten, dass dies ein bösartiger Versuch, und streckte die Hand aus, um Trust. Die Sicherheitsexperten sagen in ihrem Bericht, dass, sobald sie die BadUSB gesteckt, es initiiert eine Reihe von automatisierten Drücken von Tasten, die einen Powershell-Befehl gestartet.
So starten Sie die Analyse, wir kontrolliert den Antrieb für Aufschriften wie Seriennummern. An der Spitze des Antriebs auf der Leiterplatte sahen wir „HW-374“. Eine schnelle Google-Suche nach dieser Zeichenfolge gefunden einen „BadUSB Leonardo USB ATMEGA32U4“ zum Verkauf auf shopee.tw, Der Bericht sagt.
BadUSB Angriff Downloads Unbekannte Malware
Der Powershell-Befehl heruntergeladen Powershell-Skript von einer Webseite, und dann spezifische Schadsoftware auf dem Gerät als JScript-basierte Bot identifiziert Forscher installiert. Offenbar, während diese Analyse durchführen konnten die Forscher nicht eine ähnliche Belastung dieser Malware finden.
“Die Malware ist uns unbekannt. Es ist auch schwer zu sagen, wenn es individuell gebaut, aber es ist wahrscheinlich, weil es nicht breit verteilt und scheint zu gezielte,” Phil Hay, Senior Research Manager bei Trust sagten in einer E-Mail-Korrespondenz mit ZDNet.
Kurz nach der ersten Analyse, jedoch, Trust entdeckte eine Datei ähnlich wie die unbekannten Malware hochgeladen auf Virustotal. Eine weitere Analyse von Kollegen Cyber Forscher bei Facebook und Kaspersky zeigt, dass die unbekannte Malware wird höchstwahrscheinlich durch einen Hacker-Gruppe geprägt genannt FIN7, glaubte zu sein hinter dem Carbanak Malware. Die Forscher wissen nicht, ob die Datei von einem anderen Cyber-Unternehmen derzeit hochgeladen wurde der gleiche Stamm untersucht, oder von jemand anderem.
Diese seltene Hacker versuchen, dient als Beispiel, dass BadUSB Angriffe in der realen Welt nehmen Sie. Der letzte Angriff wurde ausführlich in 2018 von Kaspersky Forscher.
Eine kuriose Tatsache ist, dass ein Gummi ducky Angriff wurde erwähnt in einer Episode der TV-Show Mr Robot. In dieser bestimmten Jahreszeit 2 Folge, Angela hatte einen Gummi zu verwenden, ducky, falls sie mit dem ausgefallenen Femtocell-Hack. Sie hatte in der gummiducky stopfen, und schließt es aus in wenigen Sekunden. Dies würde fsociety einem halten, mehr FBI-Passwörter erhalten hat.