FBI alertó de una nueva táctica implementada por el conocido y peligroso grupo de hackers Fin7, quienes están atacando a empresas a través de envíos de memorias USBs con software malicioso y ositos de peluche usando el servicio postal de Estados Unidos.
De acuerdo con FBI, el grupo de cibercriminales Fin7, conocido por atacar empresas en Europa, Estados Unidos y Centroamérica a través de su malware GRIFFON, está adoptando un nuevo modus operandi. Se trata de enviar memorias USB que actúan como keylogger secuestrando la computadora e inyectando un malware.
“Recientemente, el grupo ciberdelincuente FIN7,1 conocido por atacar tales negocios a través de correos electrónicos de phishing, desplegó una táctica adicional de envío de dispositivos USB a través del Servicio Postal de los Estados Unidos (USPS). Los paquetes enviados a veces incluyen artículos como ositos de peluche o tarjetas de regalo para los empleados“, señala la alerta del FBI.
Los investigadores de seguridad de Trustwave SpiderLab se encargaron de analizar y revelar el ataque que consiste en un dispositivo USB que actúa como keylogger al conectarse a un computador.
Los investigadores señalan que este se envió a una empresa como tarjeta de regalo con USD$50 firmado por Best Buy, como se puede ver en la imagen.
“Puede gastarlo en cualquier producto de la lista de artículos presentados en una memoria USB”, decía la carta.
Por fortuna, la persona que recibió el paquete tenía conocimientos de seguridad informática y notó la actividad sospechosa, por lo que el dispositivo no se insertó en ninguna computadora y se envió a Trustwave para su análisis.
“Los ataques dirigidos que utilizan medios físicos no son tan comunes como el phishing o ingeniería social. Los probadores de penetración que realizan ‘pentests’ físicos están bien versados en arrojar memorias USB ‘maliciosas’ en el estacionamiento o la sala de espera de un objetivo”, explica el equipo de Trustwave.
Trustwave analizó el comportamiento del USB y detectó que se trataba de un ataque BadUSB:
En la cabeza de la unidad en la placa de circuito impreso vimos “HW-374”. Una búsqueda rápida en Google de esta cadena encontró un “BadUSB Leonardo USB ATMEGA32U4” a la venta en shopee.tw.
Se trata de un ataque muy común en pruebas de penetración y actualmente tiene variantes, los expertos afirman que “El más versátil se vende por USD$ 100”.
Los investigadores notaron dos comandos de PowerShell que mostraron un falso error para la memoria USB y otro que llevaba a ejecutar una instrucción JavaScript que podría recopilar información del sistema y descargar otro malware.
El grupo de cibercriminales Fin7 es conocido desde hace mucho tiempo por atacar empresas del ámbito hotelero, restaurantes, minoristas en EE.UU. desde 2015 de acuerdo con Kapersky Lab.
Sus ataques consisten en inyectar el malware GRIFFON e implementado campañas de phishing, haciéndose con millones de dólares en bienes financieros tras adquirir credenciales de tarjeta entre otros.