Notícias

FBI alerta que hackers estão a enviar às empresas Pens USB com malware pelo correio

9 Comentários

O truque é velho, mas a engenharia social continua a ter sucesso quando é necessário contornar as medidas de segurança para colocar malware nos sistemas. Segundo o FBI, o FIN7, um infame grupo de cibercrime que está por detrás das operações de ransomware Darkside e BlackMatter, enviou nos últimos meses dispositivos USB maliciosos a empresas americanas na esperança de infetar os seus sistemas com malware e realizar futuros ataques.

Os hackers enviam dispositivos BadUSB “contaminados” pelo correio na esperança de que as pens sejam ligadas aos computadores empresariais e, dessa forma, possibilitem a intrusão nos sistemas para efetuarem o roubo de dados.

Imagem penUSB com malware enviado às empresas, alertou o FBI


FBI alerta: Hackers querem infetar as empresas com ransomware

O método é recorrer à ingenuidade, à distração e à curiosidade para levar um operador a colocar uma pen USB infetada com malware para lançar nos sistemas das empresas ransomware. Posteriormente, depois dos hackers terem acesso a informação dos sistemas, das base de dados e do armazenamento dos backups, o parque informático é encriptado e é solicitado um resgate. Este é o modus operandi convencional.

Desde agosto de 2021, o FBI tem recebido relatórios de vários pacotes contendo estes dispositivos USB, enviados para empresas americanas das indústrias de transporte, seguros e defesa.

Disse o FBI num alerta de segurança enviado ontem a diversas organizações.

Este tipo de material está a ser enviado pelo correio tradicional. A forma tem como intenção parecer o mais banal possível. Sem um esquema ardiloso por trás, aparentemente, o pacote aparece com indicações relacionadas à COVID-19.

Há duas variações de pacotes – aqueles que imitam o HHS [Departamento de Saúde e Serviços Humanos dos EUA] são frequentemente acompanhados por cartas que fazem referência às diretrizes COVID-19 anexadas com uma pen USB. Depois há a outra versão que imita a Amazon ao enviar uma caixa de presente decorativa contendo uma carta de agradecimento fraudulenta, um cartão de presente falso, e um USB.

Acrescentou a declaração do Federal Bureau of Investigation.

Em ambos os casos, as embalagens continham dispositivos USB com a marca LilyGO.

 

Malware nas Pens USB traz vários tipos de malware

O hackers usam vários métodos para “estudar” os comportamentos dos utilizadores, assim como os sistemas de segurança. Querem saber hábitos de trabalho, palavras-passe, rotinas de backups e até pormenores sobre a vida dos operadores dos computadores. A ideia é criar uma conjuntura de ataque que envolva todos os hipotéticos cenários.

Segundo o FBI, se os destinatários ligassem as unidades USB aos seus computadores, os dispositivos executariam um ataque BadUSB, onde a unidade USB se registaria como um teclado e enviaria uma série de toques automáticos pré-configurados de teclas para o PC do utilizador.

Estas teclas executariam comandos PowerShell que descarregariam e instalariam vários tipos de malware que atuariam como backdoors para os atacantes nas redes das vítimas.

Em casos investigados pelo FBI, a agência disse ter visto o grupo obter acesso administrativo e depois deslocar-se lateralmente para outros sistemas locais.

[Os] intervenientes FIN7 utilizaram então uma variedade de ferramentas – incluindo Metasploit, Cobalt Strike, PowerShell scripts, Carbanak, GRIFFON, DICELOADER, TIRION – e implantaram ransomware, incluindo BlackMatter e REvil, na rede comprometida.

Acrescentou a agência americana.

No caso mais recente destes ataques, o grupo visou também uma empresa da indústria de defesa dos EUA ainda em novembro de 2021, utilizando o truque da carta de agradecimento da Amazon, detalhado acima.

Isto marca o segundo alerta que o FBI endereçou sobre o envio de dispositivos USB maliciosos FIN7 a empresas americanas.

Estas tentativas de intrusão começaram no início do ano de 2020 e continuam a chegar às empresas, segundo reporta o FBI.

Em março desse ano, a empresa de segurança Trustwave denunciou uma dessas tentativas de ataque através de um dispositivo BadUSB enviado a um dos seus clientes, uma cadeia de hotéis dos EUA.

 

 

Leia também:

 

Sites do jornal Expresso e da SIC “hackeados” por ransomware

PUB
Autor: Vítor M.
Partilhar:
Tags:
fbi malware Ransomware

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Ookla: NOS é a operadora com a rede móvel mais rápida em Portugal
Artigo anterior

Ookla: NOS é a operadora com a rede móvel mais rápida em Portugal
Temperaturas dos últimos sete anos foram as mais elevadas desde que há registo
Próximo artigo

Temperaturas dos últimos sete anos foram as mais elevadas desde que há registo
PUB

Comentários

9

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de CmonDude
    CmonDude

    O pplware bem que podia informar os leitores na última linha de como PREVENIR isto. Foi nos EUA mas podia perfeitamente ser em qualquer lado.

    1- Desativar o autorun do windows
    2- Permitir apenas o uso de scripts locais (ou desativar o powershell de todo)
    3- Colocar um ficheiro autorun.inf gerado no vosso computador, dentro das vossas pens.

    São apenas algumas dicas que podem ajudar a prevenir isto.

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Pois. Tens razão, por acaso já temos artigos com isso. Posso indexar. Bem lembrado.

      Responder
    2. Avatar de nelsontb
      nelsontb

      Aquilo não é uma pen… é um teclado, pela descrição usando comandos de teclado inicia um powershell, mas nada impede de ser um cmd ou mesmo de tentar abrir o internet explorer logo para o endereço do virus.

      A menos que queira restringir o VID/PID para apenas os teclados que usa na empresa (e mesmo assim nada impede de estarem a emular esses valores) vai ser sempre possível correr qualquer comando que um utilizador só com o teclado consiga correr.

      Este problema tem de ser resolvido com educação dos utilizadores até porque poderia ter sido um https://usbkill.com/ e em vez de vírus era PC queimado

      Responder
  2. Avatar de Carlos
    Carlos

    A lilygo faz um hardware bem porreiro com ESP32 principalmente para a internet das coisas. E eu uso. Fiquei na dúvida com esta ilustração

    Responder
    1. Avatar de nelsontb
      nelsontb

      Este produto http://www.lilygo.cn/prod_view.aspx?TypeId=50033&Id=1179&FId=t3:50033:3

      Para quem não é da área:
      Esta “pen” é na realidade um “chip” programável para simular acessórios USB, sejam Ratos/Teclados/Comandos/Joysticks/etc, neste caso como diz na noticia alguém programou isto para simular um teclado e correr o download e instalação de um “vírus”

      Responder
  3. Avatar de Zé

    Mas a pen ao menos tem armazenamento? É que em sistemas Linux, mac, ou Windows bem protegido esse tipo de ataques é ridículo. Ao menos sempre davam uma pen à empresa.

    Responder
  4. Avatar de Joaquim
    Joaquim

    Isto se resume a educação e prevenção.
    É possível comprar USB testers..
    Isto é possível com Raspberry Pi zero ou pico.
    Já fiz também, tem projetos no GitHub.
    Transforma o pi zero, num USB HID (teclado, rato, USB Ethernet), e consegue agir como teclado.
    E permite.tambem mudar o vid/pid, de.forma a.se identificar como outro dispositivo (joystick, qq coisa).

    Responder
  5. Avatar de Xnelox
    Xnelox

    Podia ser um cabo USB/typeC com um keylogger, isto anda lindo

    Responder
    1. Avatar de Ollopo
      Ollopo

      É o conhecido usb rubber ducky

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.