Спецпроекты

Хакеры научились взламывать ПК с помощью обычной почты и плюшевых медведей

Безопасность Администратору Пользователю Техника Маркет
Известная киберпреступная FIN7 рассылает традиционной почтой подарочные карты, плюшевые игрушки и вредоносные флешки, используемые для заражения компьютеров жертв бэкдорами.

Бойтесь подарков, бэкдоры таящих

Киберпреступная группировка FIN7 начала распространять заражённые вредоносами флешки в виде посылок традиционной почтой. В посылках могут содержаться вполне реальные подарочные сертификаты, плюшевые мишки и прочие «приманки», создающие иллюзию легитимности.

Например, одна из жертв получила письмо якобы от торговой сети Best Buy с подарочной картой на сумму $50 - вознаграждение лояльному покупателю. К письму и карте прилагался USB-накопитель, на котором якобы содержался список продуктов, которые можно было купить с использованием подарочного сертификата.

В действительности флешка содержала вредоносную прошивку: компьютеры, к которым она подключалась, видели её как дополнительную USB-клавиатуру, с которой сразу же вводился ряд запрограммированных команд - в частности, на запуск PowerShell и скачивание дополнительных вредоносных программ с внешних серверов. IP-адреса этих ресурсов указывают, что они располагаются на территории России.

Замах на копейку, удар на рубль

Рассылаемые флешки по существу даже не являются накопителями. «USB-устройства сегодня можно использовать далеко не только для хранения данных: существует несколько программно-аппаратных платформ, таких как Arduino, которые позволяют создать USB-эмулятор устройства ввода - клавиатуры, мыши и т.п., - и предустановить произвольное количество команд, и придать им вид обычного Flash-накопителя, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - В принципе, такой подход нельзя назвать особенно новым: «потерявшаяся флешка» - давнишний и весьма популярный у пентестеров приём проверки защищённости клиентской организации. И до сих пор неплохо работающий, несмотря на то, что не подбирать непонятные накопители - это азбучная истина безопасности».

bear600.jpg
Группировка FIN7 распространяет заражённые вредоносами флешки в виде посылок с подарочными сертификатами и плюшевыми мишками

Стоит отметить, что FIN7 даже не стали самостоятельно ничего изготавливать. Эксперты компании Trustwave исследовали один из рассылаемых вредоносных «накопителей» и обнаружили, что его основу составляет готовое устройство, продающееся на онлайн-рынках - BadUSB Leonardo USB на базе микроконтроллера Arduino ATMEGA32U4. Оно стоит от $5 до $14 и по умолчанию запрограммировано имитировать USB-клавиатуру. Персональные компьютеры по умолчанию добавляют клавиатуры в список доверенных устройств, так что мнимая клавиатура может сразу начать вводить любые команды.

Первое, что делает мнимая клавиатура, это выводит фейковое сообщение об ошибке с кнопкой «OK», что, видимо, маскирует «согласие» пользователя на дальнейшее развитие атаки - в том числе, скачивание вредоносов, в частности, троянца-бэкдора Griffon, типичного для FIN7.

bear760.jpg
Вредоносная флешка и фальшивый подарочный сертификат

Кроме того группировка регулярно использует модули Metasploit, Cobalt Strike, скрипты PowerShell, троянец Carbanak, дроппер Boostwrite и модуль удалённого доступа RdfSniffer.

Доставка их на целевые компьютеры с помощью флешек, пересланных официальной почтой - вполне рабочий метод социальной инженерии: правильно оформленная материальная посылка подспудно вызывает больше доверия, чем даже самое продуманное фишинговое сообщение. Хотя по сути они представляют собой одно и то же.

ФБР выпустило специальное предупреждение об участившихся атаках подобного рода. Вредоносные флешки доставляются через федеральную почтовую службу USPS, в качестве целей злоумышленники, как правило, выбирают сотрудников отделов кадров, информационных технологий и управленцев.