当心骗局艺术家带有礼物 - 拇指驱动器
研究人员发现,Creative Cybercrooks正在使用假$ 50的礼品卡作为诱饵受害者,以插入一种恶意的USB闪存驱动器,该闪存驱动器可以发射击键注射攻击。
网络安全公司Trustwave被警告社会工程学据称是从美国电子零售商百思买的一封信的客户的骗局,其中包含礼品卡和拇指驱动器,据说这据说提供了可兑换产品的列表。
但是,一旦插入设备,该设备将模拟USB键盘,并且可以自动注入恶意命令而无需用户实现,因为PCS信任USB键盘设备,默认情况下邮政在Trustwave的SpiderLabs博客上解释说。
“如果插入,USB将建立一个……连接到由网络犯罪分子控制的命令和控制系统,他们将首先收集对用户,系统和访问权限的智能,然后根据该智能删除最佳的恶意软件类型,”Trustwave高级安全研究经理Karl Sigler告诉每日swbeplay2018官网ig。
小说扭曲
Trustwave的最新发现标志着“橡皮鸭’攻击 - 以同名命名渗透测试开创了击键注入的设备 - 攻击者通常通过在停车场或候诊室中丢下“恶意” USB记忆棒来对付目标。
研究ers Alejandro Baca and Rodel Mendrez said the fact that such devices are “cheap and readily available to anyone meant that it was just a matter of time to see this technique used by criminals ‘in the wild’” – although this remains rare, they said, since such attacks are typically targeted.
百思买的攻击是针对一家美国酒店公司的目标,可能是Fin7威胁小组,西格勒说。他补充说:“我们收到的反馈说,这项活动比我们想象的要多得多。”
可疑信件包含恶意USB驱动器
三阶段有效载荷
研究人员通过将拇指驱动器连接到气动的笔记本电脑来提取三阶段的有效载荷。
第一阶段脱离了powershell命令,该命令用一个简单的替代密码编码,该密码将密码文本ASCII表移动到左侧。
然后,De-Obfuscated String揭示了一个命令,该命令下载了第二阶段PowerShell代码。
复制的第二阶段Powershell执行流wscript.exe到%appdata%\ Microsoft \ Windows \ Wipre.exe,解码JScript命令并将其保存为prada.txt,通过命令执行cmd.exe /c wipre.exe /e:jscript prada.txt。
这导致了一个虚假的对话框警告。
第三阶段有效载荷是将JScript代码保存到prada.txt,它是使用Windows内置脚本主机引擎执行的wscript.exe。
轻度混淆的JScript用独特的ID注册了命令和控制服务器的受感染主机eval()功能。
一旦执行了从感染主机,包括用户名,用户的系统特权和OS序列号的JScript代码删除的无数系统信息。
西格勒说:“切勿将随机设备插入计算机。”
“如果您在办公室设置中,请向您的安全团队报告该设备。网络犯罪分子依靠人类的天生好奇心来发动这类攻击。”
每日swbeplay2018官网ig已联系百思买以供评论。
