Ataque raro de BadUSB detectado en la naturaleza contra proveedor de hospitalidad


Recientemente, un proveedor de hospitalidad de EE. UU. Ha sido blanco de un ataque increíblemente raro de BadUSB, según ha podido saber ZDNet de la firma de ciberseguridad Trustwave.

El ataque ocurrió después de que la compañía recibió un sobre que contenía una tarjeta de regalo BestBuy falsa, junto con una memoria USB.

Se le dijo a la compañía receptora que conectara la memoria USB a una computadora para acceder a una lista de artículos para los cuales se podría usar la tarjeta de regalo.

Carta BadUSB

Imagen: Trustwave

Pero en realidad, la unidad de memoria USB period lo que los expertos en seguridad llaman «BadUSB», una unidad de memoria USB que realmente funciona como un teclado cuando se conecta a una computadora, donde emula las pulsaciones de teclas para lanzar varios ataques automáticos.

Trustwave, que no pudo revelar el nombre de la empresa objetivo por razones de confidencialidad, dijo que la víctima reconoció el intento de pirateo y lo llamó para investigar el incidente.

En un informe publicado hoy y compartido con ZDNet, Trustwave dijo que una vez que conectaron BadUSB a una estación de trabajo de prueba, BadUSB activó una serie de pulsaciones de teclas automáticas que lanzaron un comando PowerShell.

Este comando de Powershell descargó un script de PowerShell más voluminoso de un sitio de Online y luego instaló malware en la máquina de prueba, un bot basado en JScript.

badusb-attack.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/03/26/2db6a979-9db0-4280-962b-e570bb14cd35/badusb-attack.png

Imagen: Trustwave

«En el momento del análisis, no encontramos una variedad equivalent de malware», dijo Phil Hay, Gerente de Investigación Senior de Trustwave. ZDNet en un correo electrónico ayer

«El malware es desconocido para nosotros. También es difícil decir si está hecho a medida, pero probablemente lo sea, porque no está muy extendido y parece estar dirigido», agregó Hay.

Sin embargo, el investigador de Trustwave también nos dijo que desde su análisis inicial, un archivo very similar al malware que analizaron luego se cargó en VirusTotal, un motor de escaneo de archivos basado en la web. Por análisis posterior de Fb y Kaspersky investigadores, se cree que el archivo es el trabajo de un grupo de piratería conocido como FIN7.

No está claro quién cargó este archivo, o si proviene de otro proveedor de seguridad cibernética que también investiga un ataque de BadUSB a otra víctima.

Pero la lección aquí es que alguien realmente detectó un ataque BadUSB en el mundo actual. Los ataques de BadUSB se detallaron por primera vez a fines de la década de 2000, y durante muchos años representaron un escenario de ataque teórico, algo sobre lo que a menudo se advierte a los empleados, pero que rara vez se ha visto en la naturaleza.

«Este tipo de ataques [BadUSB] a menudo se simulan en pruebas de penetración y se usan durante los ejercicios de formación de equipos rojos», dijo Hay ZDNet. «Ver este tipo de ataques en el mundo actual es mucho más raro».

El último ataque conocido ocurrió hace dos años en Europa del Este

El último caso conocido de un ataque BadUSB, también conocido como ataque Bash Bunny, fue detallado en diciembre de 2018 por la firma rusa de ciberseguridad Kaspersky.

En ese momento, la compañía dijo que encontró dispositivos BadUSB, junto con computadoras portátiles baratas y placas Raspberry Pi, en ocho bancos de Europa del Este. Los bancos llamaron a Kaspersky para investigar una serie de misteriosos robos cibernéticos durante los cuales los piratas informáticos robaron decenas de millones de dólares.





Enlace a la noticia initial