一家安全公司发现了一种罕见的试图入侵Windows计算机的尝试,其中涉及向用户发送带有恶意软件的USB拇指驱动器。
根据Trustwave的说法,这位神秘的黑客通过假装USB拇指驱动器是Best Buy提供的50美元礼品卡的一部分,从而做到了这一点。这封信是在二月份寄出的,感谢收件人是长期客户。
公司研究员Alejandro Baca和Rodel Mendrez在周四的帖子中写道:“这封信中似乎包含一个USB驱动器,声称其中包含要花费的物品清单。”
USB拇指驱动器看起来相当普通。但是根据Trustwave的说法,它实际上是旨在提供可以劫持Windows系统的恶意代码的。拇指驱动器可以执行此操作,因为它已被编程为模拟USB连接的键盘。研究人员写道:“由于默认情况下PC信任键盘USB设备,因此一旦插入,键盘仿真器就可以自动注入恶意命令。”
Google在USB拇指驱动器上搜索“ HW-374”的代码的搜索结果还显示,台湾一家电子商务网站以低至7美元的价格出售这些设备。
然后,Trustwave的研究人员通过将USB指棒的行为连接到与互联网隔离的测试笔记本电脑来检查其行为。据怀疑,该驱动器确实通过使用Powershell命令传递了恶意负载,该命令将操纵PC秘密下载更多计算机代码。
当所有这些发生时,计算机将被欺骗以显示一条消息,声称USB驱动器出现故障(因此,百思买没有提供免费礼物)。但实际上,拇指驱动器正在秘密劫持计算机,以与黑客的命令和控制服务器链接。
作为回报,命令和控制服务器将恶意Java代码发送到受害者的PC。“ JScript代码可以是任何东西。但是,当我们解码它时,它揭示了一个从受感染主机中收集系统信息的代码。”研究人员写道。通过收集系统信息,黑客可以进行侦查,找出利用受害者PC的最佳方法,这很可能导致计算机感染各种恶意软件。
多年来,IT安全社区一直警告说,黑客可以利用USB拇指驱动器传播恶意软件。好消息是,这种攻击非常罕见,而且通常仅限于国家资助的针对工业系统的间谍。但是,Trustwave的调查结果表明,黑客通过邮件进行相同的攻击相对便宜。
幸运的是,收到百思买礼物的原始收件人从未插入USB驱动器。然而,相同的方案最终可能欺骗其他人。
“由于USB设备无处不在,使用并随处可见,因此有人认为它们无害且安全。其他人可能会对未知的USB设备的内容感到非常好奇,”他们写道。“如果这个故事教给我们任何东西,那就是永远不要相信这样的设备。”
