Hacker đã sử dụng snail-mail (dịch vụ gửi thư qua bưu điện) để gửi một lá thư kèm theo ổ USB chứa malware cho một công ty cung cấp khách sạn tại Mỹ. Một nhà cung cấp dịch vụ khách sạn tại Mỹ gần đây đã trở thành mục tiêu của một cuộc tấn công BadUSB cực kỳ hiếm gặp.
Phương thức tấn công bằng BadUSB của Hacker nhắm vào ngân hàng
Công ty nhận được yêu cầu cắm USB vào máy tính để truy cập danh sách các thẻ quà tặng có thể sử dụng được (tham đồ free).
Nhưng trên thực tế, ổ USB này là thứ mà các chuyên gia bảo mật gọi là “BadUSB”. Chiếc USB này hoạt động như bàn phím khi được kết nối với máy tính, nơi nó có thể mô phỏng các phím bấm để khởi chạy các cuộc tấn công tự động khác nhau.
Trong một báo cáo được công bố hôm nay, Trustwave nói rằng một khi họ đã cắm BadUSB vào PC, nó sẽ kích hoạt một loạt các phím bấm tự động khởi chạy lệnh PowerShell.
Lệnh Powershell này đã tải xuống các tệp lệnh Powershell khác từ một trang web và sau đó cài đặt phần mềm độc hại trên PC của nạn nhân – một con bot dựa trên JScript.
“Tại thời điểm phân tích, chúng tôi không tìm thấy một loại phần mềm độc hại nào tương tự”, Phil Hay, Giám đốc nghiên cứu cao cấp tại Truswave.
“Phần mềm độc hại đó không được chúng tôi biết đến. Thật khó để nói nếu nó được phát triển theo dạng custom-built, nhưng có lẽ là vì nó không thể lây lan sang máy khác và dường như đã được thiết lập để nhắm đến mục tiêu từ trước”, Phil Hay nói thêm.
Tuy nhiên, nhà nghiên cứu Trustwave cũng nói rằng từ phân tích ban đầu của họ, một tệp tương tự như phần mềm độc hại đã được tải lên trên VirusTotal, một công cụ quét tệp trên Web. Theo phân tích từ các nhà nghiên cứu của Facebook (ông này đâu ra vậy) và Kaspersky, tệp này được cho là tác phẩm của một nhóm hacker với tên gọi FIN7.
Những cuộc tấn công BadUSB như này rất hiếm ở thế giới thực. Các cuộc tấn công đầu tiên được phát hiện vào đầu những năm 2010 và trong nhiều năm, các nhân viên thường được cảnh báo về kiểu tấn công này.
“Những kiểu tấn công này thường được mô phỏng trong thử nghiệm xâm nhập và được sử dụng làm bài tập cho Red Team”, Hay nói.
Cuộc tấn công BadUSB lần cuối được phát hiện là vào tháng 12 năm 2018 bởi Kaspersky. Cuộc tấn công đó được gọi là Bash Bunny.
Vào thời điểm đó, công ty cho biết họ đã tìm thấy các thiết bị BadUSB, cùng với laptop và Raspberry Pi giá rẻ, được đặt tại tám ngân hàng ở Đông Europe. Các ngân hàng đã gọi cho Kaspersky để điều tra một loạt vụ cướp bí ẩn trong đó tin tặc đã đánh cắp hàng chục triệu đô la.
Bài học rút ra từ vụ lần này là khi thấy usb lạ thì đừng nên cắm bậy vào PC của mình. Tốt nhất là ra Net rồi muốn cắm gì thì cắm.