FIN7 атакует компании с помощью «флэшек» и плюшевых медведей

Федеральное бюро расследований США предупредило организации и экспертов по безопасности о новой вредоносной кампании по распространению бэкдора GRIFFON. Согласно уведомлению ФБР, киберпреступная группировка FIN7 избрала весьма необычный способ заражения целевых систем – рассылает вредоносные программы по обычной почте.

FIN7 отправляет своим жертвам бандероли с подарочными сертификатами и мягкими игрушками. В бандеролях также содержатся USB флэш-накопители, которые после подключения к компьютеру заражают его бэкдором GRIFFON.

Об одном таком случае недавно сообщила ИБ-компания Trustwave. Ее клиент (неназванный гостиничный оператор) получил по почте пакет с подарочной картой BestBuy и USB флэш-накопителем. При подключении к компьютеру «флэшка» играла роль клавиатуры, запускающей команды для загрузки и выполнения вредоносного ПО.

Однако клиент Trustwave – не единственная жертва новой операции FIN7. Вышеупомянутые бандероли получили множество компаний, в том числе рестораны, магазины и гостиничные операторы. Бандероли адресовались сотрудникам отделов кадров, IT-отделов и даже высшему руководству.

Используемые киберпреступниками USB флэш-накопители стоят недорого, порядка $5-14 в зависимости от поставщика и страны доставки. Согласно уведомлению ФБР, в них используются микроконтроллеры ATMEGA24U, однако в устройстве, исследованном специалистами Trustwave, использовался микроконтроллер ATMEGA32U4. И в том, и в другом устройстве на материнской плате было напечатано HW-374. Как было установлено, в обеих «флэшках» использовалась плата Arduino Leonardo, запрограммированная выполнять действия клавиатуры и компьютерной мыши. Кастомизировать нажатия клавиш и движения мыши можно с помощью Arduino IDE.