Llegamos a ustedes gracias a:



Alertas de Seguridad

Utilizan dongles USB

Para enviar código malicioso a empresas seleccionadas

[27/03/2020] Los investigadores de seguridad se han encontrado con un ataque en el que un dongle USB diseñado para comportarse subrepticiamente como un teclado, fue enviado por correo a una compañía bajo la apariencia de una tarjeta de regalo de Best Buy. Esta técnica ha sido utilizada por los profesionales de la seguridad durante las pruebas de penetración física en el pasado, pero muy rara vez se ha observado en el campo. Esta vez es un conocido y sofisticado grupo cibercriminal el que probablemente esté detrás de esto.

El ataque fue analizado y divulgado por investigadores de seguridad de Trustwave SpiderLabs, que se enteraron del mismo por el socio comercial de uno de los miembros de su equipo. Ziv Mador, vicepresidente de investigación de seguridad de Trustwave SpiderLabs, señaló que una empresa estadounidense del sector de la hostelería recibió el USB a mediados de febrero.

El paquete contenía una carta de aspecto oficial con el logo de Best Buy y otros elementos de marca que informaban al destinatario de que había recibido una tarjeta de regalo de 50 dólares por ser un cliente habitual. "Puede gastarlo en cualquier producto de la lista de artículos presentados en una memoria USB", decía la carta. Afortunadamente, el USB dongle nunca fue insertado en ninguna computadora y fue pasado para su análisis, porque la persona que lo recibió tenía entrenamiento de seguridad.

El BadUSB

Los investigadores rastrearon el modelo de dongle USB hasta un sitio web taiwanés donde se vende por el equivalente a siete dólares bajo el nombre de BadUSB Leonardo USB ATMEGA32U4. En el 2014, en la conferencia de seguridad Black Hat USA, un equipo de investigadores de los Laboratorios de Investigación de Seguridad (SRLabs) con sede en Berlín, demostraron que el firmware de muchos dongles USB puede ser reprogramado para que, cuando se inserta en una computadora, informe que en realidad es un teclado y comience a enviar comandos que podrían ser utilizados para desplegar malware. Los investigadores llamaron a este ataque BadUSB y es diferente a poner malware en una llave USB y confiar en que el usuario la abra.

El dispositivo USB Leonardo que Trustwave recibió y analizó tiene un microcontrolador ATMEGA32U4 de Arduino dentro del cual fue programado para actuar como un teclado virtual y ejecutar un guión ofuscado de PowerShell a través de la línea de comandos. El script llega a un dominio establecido por los atacantes, y descarga una carga secundaria de PowerShell que luego despliega una tercera carga basada en JavaScript que se ejecuta a través del motor de host de scripts incorporado de Windows.

Esta tercera carga útil de JavaScript genera un identificador único para el equipo y lo registra en un servidor remoto de comando y control. Luego recibe código adicional de JavaScript del servidor que ejecuta. El objetivo de esta cuarta carga útil es reunir información sobre el sistema, como el privilegio del usuario, el nombre de dominio, la zona horaria, el idioma, el sistema operativo y la información de hardware, una lista de los procesos en ejecución, si Microsoft Office y Adobe Acrobat están instalados y más.

Después de esta rutina de recolección de información, el backdoor de JavaScript entra en un bucle que periódicamente se comprueba con el servidor para ver si hay nuevos comandos a ejecutar.

"El hecho de que también sean baratas y fácilmente disponibles para cualquiera significaba, que era solo cuestión de tiempo ver esta técnica utilizada por los criminales", dijeron los investigadores de Trustwave en su informe. "Dado que los dispositivos USB son ubicuos, usados y vistos en todas partes, algunos los consideran inocuos y seguros. Otros pueden ser muy curiosos sobre el contenido de un dispositivo USB desconocido. Si esta historia nos enseña algo, es que uno nunca debe confiar en tal dispositivo".

Posible conexión del FIN7

Mador señala que su equipo no sabía quiénes eran los atacantes, pero después de ver la información del informe de Trustwave, los investigadores de seguridad Costin Raiu de Kaspersky Lab y Michael Yip comentaron en Twitter que el malware utilizado y la infraestructura coinciden con la utilizada por la banda FIN7.

FIN7, también conocido como Carbanak, es un grupo cibercriminal con motivaciones financieras que ha estado atacando a empresas con sede en los EE.UU. de los sectores de la venta al por menor, restaurantes y hostelería desde alrededor del 2015. El grupo es conocido por utilizar técnicas sofisticadas para moverse lateralmente dentro de redes y sistemas comprometidos con el objetivo de robar información de tarjetas de pago. Los investigadores de la empresa de seguridad Morphisec estimaron en el pasado que los miembros de FIN7 ganan alrededor de 50 millones de dólares al mes con sus actividades.

El objetivo del ataque a BadUSB era una empresa del sector de la hostelería de EE.UU. que está en línea con el objetivo anterior de FIN7, pero mientras que el malware (GRIFFON) y la infraestructura coinciden con FIN7, Raiu añade que es la primera vez que ha visto al grupo utilizar este vector de ataque físico basado en un dongle USB.

¿Más ataques BadUSB en camino?

Los ataques que involucran dongles USB reprogramados para actuar como teclados no se han utilizado ampliamente hasta ahora porque no son muy escalables. Uno de esos dongles que es popular entre los probadores de penetración es el USB Rubber Ducky. Está fabricado por una compañía llamada Hak5 y cuesta 50 dólares, lo que no es mucho dinero para que lo gaste un profesional, pero se suma rápidamente si eres un atacante y quieres infectar a muchas víctimas, especialmente porque la tasa de éxito no será del 100%.

Sin embargo, a siete dólares cada uno (y probablemente menos si se compra en grandes cantidades), los dongles maliciosos como el dispositivo BadUSB Leonardo hacen mucho más viables los ataques con palabras reales de BadUSB. Los atacantes ni siquiera tienen que esforzarse mucho, como crear un firmware personalizado para convertir las memorias USB no maliciosas que ya están disponibles en el mercado en memorias maliciosas. Solo tienen que cargar su carga útil personalizada en un dispositivo preparado y enviarlo por correo.

Aun así, se espera que los ataques de este tipo se dirijan a un número relativamente pequeño de empresas cuidadosamente seleccionadas, sobre las que los atacantes ya han hecho algunas investigaciones. De acuerdo con Mador de Trustwave, la elección de hacerse pasar por Best Buy podría no haber sido un accidente. Los atacantes pueden usar la información en línea para encontrar a los contratistas y proveedores de una compañía.

También, en este caso, la carta deshonesta fue enviada a la dirección de la empresa, pero con los empleados superiores y otros empleados clave que ahora trabajan desde casa debido a la pandemia COVID-19 el riesgo es aún mayor.

En el trabajo, estas cartas probablemente serían recibidas por el personal administrativo, que podría llevar el dispositivo al equipo de TI o de seguridad si han sido entrenados adecuadamente, por lo que varias personas podrían mirar el dispositivo antes de que sea utilizado, indica Mador. Sin embargo, en casa no hay personal de seguridad, e incluso si el destinatario recibiera formación sobre seguridad en el trabajo, el dispositivo podría ser encontrado y utilizado por uno de sus familiares antes de que tengan la oportunidad de detenerlo.

Si los hackers comprometen un dispositivo en la red doméstica de la víctima, con el tiempo conseguirán piratear también la computadora de su trabajo, lo que probablemente les proporcionará acceso a la red o a los sistemas de la empresa a través de una conexión VPN. Por eso los profesionales de la seguridad están preocupados por la situación de trabajo forzado desde el hogar que está en vigor actualmente.

"La gente ya sabe que no debe hacer clic en los enlaces o abrir archivos adjuntos de fuentes desconocidas o no confiables", anota Mador. "Pero cuando se trata de USB dongles, muchos todavía no usan el juicio correcto".