Proponha uma correção, faça uma sugestão
FBI alerta que hackers estão a enviar às empresas Pens USB com malware pelo correio
O truque é velho, mas a engenharia social continua a ter sucesso quando é necessário contornar as medidas de segurança para colocar malware nos sistemas. Segundo o FBI, o FIN7, um infame grupo de cibercrime que está por detrás das operações de ransomware Darkside e BlackMatter, enviou nos últimos meses dispositivos USB maliciosos a empresas americanas na esperança de infetar os seus sistemas com malware e realizar futuros ataques.
Os hackers enviam dispositivos BadUSB "contaminados" pelo correio na esperança de que as pens sejam ligadas aos computadores empresariais e, dessa forma, possibilitem a intrusão nos sistemas para efetuarem o roubo de dados.
FBI alerta: Hackers querem infetar as empresas com ransomware
O método é recorrer à ingenuidade, à distração e à curiosidade para levar um operador a colocar uma pen USB infetada com malware para lançar nos sistemas das empresas ransomware. Posteriormente, depois dos hackers terem acesso a informação dos sistemas, das base de dados e do armazenamento dos backups, o parque informático é encriptado e é solicitado um resgate. Este é o modus operandi convencional.
Desde agosto de 2021, o FBI tem recebido relatórios de vários pacotes contendo estes dispositivos USB, enviados para empresas americanas das indústrias de transporte, seguros e defesa.
Disse o FBI num alerta de segurança enviado ontem a diversas organizações.
Este tipo de material está a ser enviado pelo correio tradicional. A forma tem como intenção parecer o mais banal possível. Sem um esquema ardiloso por trás, aparentemente, o pacote aparece com indicações relacionadas à COVID-19.
Há duas variações de pacotes - aqueles que imitam o HHS [Departamento de Saúde e Serviços Humanos dos EUA] são frequentemente acompanhados por cartas que fazem referência às diretrizes COVID-19 anexadas com uma pen USB. Depois há a outra versão que imita a Amazon ao enviar uma caixa de presente decorativa contendo uma carta de agradecimento fraudulenta, um cartão de presente falso, e um USB.
Acrescentou a declaração do Federal Bureau of Investigation.
Em ambos os casos, as embalagens continham dispositivos USB com a marca LilyGO.
Malware nas Pens USB traz vários tipos de malware
O hackers usam vários métodos para "estudar" os comportamentos dos utilizadores, assim como os sistemas de segurança. Querem saber hábitos de trabalho, palavras-passe, rotinas de backups e até pormenores sobre a vida dos operadores dos computadores. A ideia é criar uma conjuntura de ataque que envolva todos os hipotéticos cenários.
Segundo o FBI, se os destinatários ligassem as unidades USB aos seus computadores, os dispositivos executariam um ataque BadUSB, onde a unidade USB se registaria como um teclado e enviaria uma série de toques automáticos pré-configurados de teclas para o PC do utilizador.
Estas teclas executariam comandos PowerShell que descarregariam e instalariam vários tipos de malware que atuariam como backdoors para os atacantes nas redes das vítimas.
Em casos investigados pelo FBI, a agência disse ter visto o grupo obter acesso administrativo e depois deslocar-se lateralmente para outros sistemas locais.
[Os] intervenientes FIN7 utilizaram então uma variedade de ferramentas - incluindo Metasploit, Cobalt Strike, PowerShell scripts, Carbanak, GRIFFON, DICELOADER, TIRION - e implantaram ransomware, incluindo BlackMatter e REvil, na rede comprometida.
Acrescentou a agência americana.
No caso mais recente destes ataques, o grupo visou também uma empresa da indústria de defesa dos EUA ainda em novembro de 2021, utilizando o truque da carta de agradecimento da Amazon, detalhado acima.
Isto marca o segundo alerta que o FBI endereçou sobre o envio de dispositivos USB maliciosos FIN7 a empresas americanas.
Estas tentativas de intrusão começaram no início do ano de 2020 e continuam a chegar às empresas, segundo reporta o FBI.
Em março desse ano, a empresa de segurança Trustwave denunciou uma dessas tentativas de ataque através de um dispositivo BadUSB enviado a um dos seus clientes, uma cadeia de hotéis dos EUA.
Leia também:
Este artigo tem mais de um ano
Loading ...
O pplware bem que podia informar os leitores na última linha de como PREVENIR isto. Foi nos EUA mas podia perfeitamente ser em qualquer lado.
1- Desativar o autorun do windows
2- Permitir apenas o uso de scripts locais (ou desativar o powershell de todo)
3- Colocar um ficheiro autorun.inf gerado no vosso computador, dentro das vossas pens.
São apenas algumas dicas que podem ajudar a prevenir isto.
Pois. Tens razão, por acaso já temos artigos com isso. Posso indexar. Bem lembrado.
Aquilo não é uma pen… é um teclado, pela descrição usando comandos de teclado inicia um powershell, mas nada impede de ser um cmd ou mesmo de tentar abrir o internet explorer logo para o endereço do virus.
A menos que queira restringir o VID/PID para apenas os teclados que usa na empresa (e mesmo assim nada impede de estarem a emular esses valores) vai ser sempre possível correr qualquer comando que um utilizador só com o teclado consiga correr.
Este problema tem de ser resolvido com educação dos utilizadores até porque poderia ter sido um https://usbkill.com/ e em vez de vírus era PC queimado
A lilygo faz um hardware bem porreiro com ESP32 principalmente para a internet das coisas. E eu uso. Fiquei na dúvida com esta ilustração
Este produto http://www.lilygo.cn/prod_view.aspx?TypeId=50033&Id=1179&FId=t3:50033:3
Para quem não é da área:
Esta “pen” é na realidade um “chip” programável para simular acessórios USB, sejam Ratos/Teclados/Comandos/Joysticks/etc, neste caso como diz na noticia alguém programou isto para simular um teclado e correr o download e instalação de um “vírus”
Mas a pen ao menos tem armazenamento? É que em sistemas Linux, mac, ou Windows bem protegido esse tipo de ataques é ridículo. Ao menos sempre davam uma pen à empresa.
Isto se resume a educação e prevenção.
É possível comprar USB testers..
Isto é possível com Raspberry Pi zero ou pico.
Já fiz também, tem projetos no GitHub.
Transforma o pi zero, num USB HID (teclado, rato, USB Ethernet), e consegue agir como teclado.
E permite.tambem mudar o vid/pid, de.forma a.se identificar como outro dispositivo (joystick, qq coisa).
Podia ser um cabo USB/typeC com um keylogger, isto anda lindo
É o conhecido usb rubber ducky