ФБР предупредила об опасности USB-флэшек, присылаемых по почте

21 январь, 2022 - 16:15

Согласно информации, поступившей от ФБР, одна из групп кибервымогателей возродила классическую схему «троянского коня»: они рассылают обычной почтой (United States Postal Service, USPS) флэшки с вредоносным содержимым в надежде, что соблазнившись неожиданным подарком, получатель вставит его в свой компьютер.

Посылки с BadUSB начали приходить в транспортные и страховые организации в августе прошлого года, а с ноября их стали получать также на объектах оборонно-промышленного комплекса США.

В одном варианте, отправителем значится Министерство здравоохранения и социальных служб США , а на флешке якобы находится важная информация о COVID-19, в другом случае флэшка с подарочной картой предлагается от лица компании Amazon.com.

Гибкость стандарта USB позволяет BadUSB перепрограммировать USB-накопитель, чтобы эмулировать клавиатуру для создания нажатий клавиш и команд на компьютере, устанавливать вредоносное ПО перед загрузкой операционной системы или подделывать сетевую карту и перенаправлять трафик.

В первую очередь инструменты BadUSB использовались для развёртывания нескольких штаммов программ-вымогателей, включая BlackBatter и REvil.  Считается, что BlackMatter является ребрендингом группы вымогателей DarkSide, которая, похоже, закрыла свой бизнес после атаки на американского поставщика топлива Colonial Pipeline в мае. REvil (Ransomware Evil), также известная под именем Sodinokibi, недавно прекратила существование после серии арестов, произведённых в России по поручению США.

Инициатором новой кампании атак BadUSB считают группу FIN7, которая в 2020 году уже рассылала USB-накопители с вредоносной начинкой. Тогда злоумышленники выдавали это за акцию сети магазинов BestBuy: флэшку предлагалось вставить, чтобы увидеть список товаров, на которые распространялось действие  предполагаемой подарочной карты.