Каждый хочет получить бесплатно подарочную карту Best Buy на сумму $ 50 и USB диск по почте, но, как говорится, ничего никогда по-настоящему не бывает бесплатно.
По сообщению, Trustwave банда злоумышленников собрала уникальный профиль атаки, основанный на человеческой слабости, жажде бесплатного. Фактически подобные атаки известны с первых дней киберпреступности. Атака начинается с фактического бумажного письма по почте через Почтовую службу США, направленного к конкретной цели. Данное письмо содержит сообщение социальной инженерии, предназначенное, чтобы побудить получателей подключить USB-накопитель к своему компьютеру.
В письме говорилось, что подарочная карта Best Buy предназначена для данного клиента и что USB диск содержит список продуктов, которые можно приобрести с этой картой. Неудивительно, что на подарочной карте нет ничего, но USB приходит с сюрпризом. На нем вредоносные программы.
Исследователи обнаружили, что микроконтроллер ARDuino USB-диска был запрограммирован на эмуляцию USB-клавиатуры. Это метод запутывания, так как большинство программного обеспечения безопасности по умолчанию позволяет USB клавиатуру для подключения. После вставки диска вводится полезная нагрузка и загружается дополнительный код.
«Такие атаки с использованием USB-устройств широко известны и используются специалистами по безопасности. Тот факт, что они также дешевы и легко доступны для всех означает, что это лишь вопрос времени, чтобы увидеть этот метод, используемый преступниками «в дикой природе».
Тот факт, что USB-накопители являются повседневным предметом, делает их менее угрожающими для среднего человека, не подозревая, что они могут быть использованы в злонамеренных целях.
Поддельное сообщение затем всплывает на экране. В нем сообщается, что USB устройство не узнается, возможно, чтобы запутать жертву, что что-то происходит. На этом этапе загружается дополнительный JavaScript для регистрации зараженного устройства с командным сервером. Затем сервер C2 отправляет некоторые закодированные данные, содержащие программное обеспечение для кражи информации.
На данный момент с устройства берется большое количество информации:
- Пользователь
- Наименование узла
- Системная привилегия пользователя
Использует запрос WMI для получения:
- Владелец процесса
- Доменное имя
- Компьютерная модель
- Информация об операционной системе
- Установлен ли Office и Adobe Acrobat
- Список запущенных процессов (включая PID)
- Работает ли зараженный хост в виртуализированной среде
- Вредоносная программа входит в цикл и активирует каждые две минуты, когда она может получать дополнительные команды с сервера C2.