28.03.2020 | Зафиксирован новый случай использования крайне редкой атаки BadUSB |
Как сообщают специалисты ИБ-компании Trustwave, компьютерные сети одного из гостиничных операторов США подверглись редкой атаке BadUSB. Злоумышленники прислали гостиничному оператору по обычной почте письмо с поддельным подарочным сертификатом BestBuy и USB флэш-накопителем. В письме сообщалось, что на «флэшке» содержится список товаров, которые можно оплатить с помощью подарочного сертификата. Однако на самом деле устройство представляло собой то, что ИБ-эксперты называют BadUSB – USB флэш-накопитель, который при подключении к компьютеру играет роль клавиатуры и эмулирует нажатия клавиш для запуска автоматизированных атак. Согласно отчету Trustwave, гостиничный оператор, название которого не разглашается, обнаружил попытку атаки и обратился к ИБ-компании за помощью в расследовании. После подключения к тестовой рабочей станции «флэшка» инициировала серию автоматизированных нажатий клавиш на клавиатуре, запускающих PowerShell-команду. Эта команда загружала с web-сайта более объемный PowerShell-скрипт и устанавливала вредоносный JScript-бот. На момент проведения анализа данный образец вредоносного ПО был незнаком специалистам Trustwave. Вероятнее всего, он является кастомным и создан специально для конкретной целевой атаки. Через некоторое время похожий образец вредоносного ПО был загружен на VirusTotal. Как показал дальнейший анализ образца специалистами Facebook и «Лаборатории Касперского», его разработчиком может быть известная APT-группа FIN7. Кто загрузил файл на VirusTotal, неизвестно, возможно, это были ИБ-специалисты, расследующие похожий случай. Атака BadUSB впервые была описана в начале 2010-х годов и в течение долгих лет существовала лишь в теории. Она отрабатывалась специалистами во время тестирований на проникновение и учений, но в реальной жизни атака практически не встречалась. Последний известный случай был описан «Лабораторией Касперского» в декабре 2018 года. |
Проверить безопасность сайта