安全企业Trustwave近日警告,人们经常听到社交工程攻击,手法从网络钓鱼攻击、诱导用户打开恶意的连接或附加文件,但也得留心实体的“邪恶USB”(BadUSB)攻击,这样的例子虽然不多,却是实际存在的。
Trustwave最近发现的一个例子是,一个客户收到了一个伪装成来自Best Buy的包里,内置提供给忠实客户50美元的礼券,并附上一个USBU盘,表示其中含有可用礼券购买的商品。
然而该USBU盘却是一个邪恶USB,它其实是个USB键盘,一旦安装后就会自动注入恶意命令,连接远程的C&C服务器,回传设备信息,从计算机型号、硬件信息、操作系统信息,到执行程序等,之后下载其它的命令或恶意程序。
简单地说,一旦USB的控制芯片被重新程序化以执行其它功能,它就可能被黑客用来发动攻击,最终控制受害者计算机。
Trustwave表示,外界早就知道邪恶USB的存在,而且这些USB在坊间就能以低价购得,对于不论是送到家中或办公室的USB设备应该要有所警觉。
在Trustwave提出警告后,随即收到其它类似的意外通报,指称FIN7黑客集团自2015年就采用此种模式发动攻击,而且锁定了美国的旅馆与零售产业。