Certaines attaques de logiciels malveillants peuvent être extrêmement machiavélique. Tel est un cas récent analysé par des experts en cybersécurité à Trustwave.
Une attaque rare BadUSB Going Under analyse
L'attaque en question a été très ciblée, et déployé une astuce d'ingénierie sociale très rusé en utilisant une carte-cadeau de faux et supports physiques, connu sous le nom « canard en caoutchouc ». Un « Ducky en caoutchouc » est un clavier USB malveillant préchargé avec des frappes, qui ressemble à un bâton USB standard.
"Ces types d'attaques sont généralement explicitement ciblées qu'il est rare de les trouver à venir des attaquants réels dans la nature. Rare, mais toujours là," Trustwave dit.
La cible?
Un fournisseur d'hospitalité non divulguée US. La société a reçu une enveloppe contenant une faux BestBuy carte cadeau et une clé USB. La société a été chargée de brancher l'USB dans un ordinateur pour accéder à une liste d'articles pour la carte-cadeau à utiliser. Cependant, USB avéré être un « canard en caoutchouc » également connu sous le nom BadUSB – une attaque très rare qui fonctionne comme un clavier lorsqu'il est connecté à un PC. Les émule d'attaque touches_appuyees visant à lancer une série d'attaques automatisées.
Les bonnes nouvelles sont que l'entreprise ciblée soupçonné que c'était une tentative malveillante, et pris contact avec Trustwave. Les experts en sécurité dans leur rapport qu'une fois branché le BadUSB, il a entrepris une série de frappes de touches automatisées qui a lancé une commande PowerShell.
Pour commencer l'analyse, nous avons inspecté le lecteur des inscriptions telles que les numéros de série. A la tête du lecteur sur la carte de circuit imprimé, nous avons vu « HW-374 ». Une recherche rapide sur Google pour cette chaîne a trouvé un « BadUSB Leonardo USB ATMEGA32U4 » en vente sur shopee.tw, le rapport.
BadUSB attaque Inconnu Téléchargements Malware
La commande PowerShell téléchargé un script PowerShell à partir d'un site Web, puis installé des logiciels malveillants spécifiques sur la machine des chercheurs identifiés comme un robot basé sur JScript. Apparemment, tout en effectuant cette analyse, les chercheurs ne pouvaient pas trouver une autre souche similaire de ce logiciel malveillant.
“Le logiciel malveillant est inconnu pour nous. Il est également difficile de dire si elle est construit sur mesure, mais il est probablement, car il est pas très diffusé et semble être ciblé,” Phil Hay, Gestionnaire principal de recherche à Trustwave a déclaré dans une correspondance électronique avec ZDNet.
Peu de temps après l'analyse initiale, cependant, Trustwave a découvert un fichier similaire au malware inconnu téléchargé sur VirusTotal. Une analyse plus poussée par d'autres chercheurs de cybersécurité à Facebook et Kaspersky révèle que le malware inconnu est très probablement inventé par un groupe de piratage appelé FIN7, jugés derrière le logiciel malveillant Carbanak. Les chercheurs ne savent pas si le fichier a été transféré par une autre société de sécurité cybernétique enquête actuellement sur la même souche, ou par quelqu'un d'autre.
Cette tentative de piratage rare sert d'exemple que les attaques BadUSB ne se déroulent dans le monde réel. La dernière attaque a été détaillée dans 2018 par des chercheurs de Kaspersky.
Est-ce un fait curieux une attaque canard en caoutchouc a été mentionné dans un épisode de la TV montrer Mr Robot. Dans cette saison spécifique 2 épisode, Angela a dû utiliser un caoutchouc Ducky au cas où elle a échoué avec le femtocell bidouille. Elle a dû brancher le canard en caoutchouc, et branchez-le en quelques secondes. Cela aurait accordé fsociety une prise de plusieurs mots de passe du FBI.