Nuevos ataques de Rubber Ducky a través de gift cards

Las memorias USB maliciosas se utilizaron en una campaña de estafa que simulaba ser una gift card de una tienda retail, de este modo no levantaron sospechas en las víctimas. ¿Qué es un dispositivo Rubber Ducky? En simples palabras es un dispositivo USB, como un pendrive, que permite robar datos de un equipo. ¿Cómo funciona? […]

Las memorias USB maliciosas se utilizaron en una campaña de estafa que simulaba ser una gift card de una tienda retail, de este modo no levantaron sospechas en las víctimas.

¿Qué es un dispositivo Rubber Ducky?

En simples palabras es un dispositivo USB, como un pendrive, que permite robar datos de un equipo. ¿Cómo funciona? Bueno, un pendrive tradicional tiene un script que nos permite copiar/eliminar archivos, desde y hacia el computador, haciendo click en estos. El rubber Ducky, en cambio, es capaz de ejecutar scripts solo recibiendo corriente.

Es decir basta con conectarlo y empieza a funcionar. Además, los dispositivos ”del patito” tienen una CPU de 60 Mhz y 32 bits, capaz de controlar el flujo de datos. Por ende, es la CPU del pendrive la que realiza las operaciones, y no el ordenador, a diferencia de los dispositivos de almacenamiento comunes.

Nuevo ataque detectado

De acuerdo a una nueva investigación en Estados Unidos, estas memorias USB maliciosas venían precargadas con un teclado USB emulado para inyectar pulsaciones de teclas. El incidente como tal consistió en un ataque que se produjo en forma de carta que suplantaba la cadena ”Best Buy”. En la carta venía una gift card de 50 dólares, aludiendo a que el regalo era por ser ”buen cliente”. Para finalizar, la carta incluía una unidad USB que decía contener una lista de artículos para gastar.

Este USB malicioso en realidad contiene un microcontrolador Arduino ATMEGA32U4 programado para emular un teclado USB. Dado que los teclados USB son dispositivos confiables en la mayoría de los sistemas, los comandos maliciosos se pueden inyectar fácilmente en los computadores de las víctimas.

Los investigadores de Trustwave inspeccionaron una unidad maliciosa con el número de serie “HW-374”, luego de una búsqueda rápida en Google de encontraron un “BadUSB Leonardo USB ATMEGA32U4” a la venta en “shopee.tw “.

La memoria USB parece bastante normal. Pero según Trustwave, en realidad está diseñado para entregar código malicioso, utilizando un comando Powershell, que puede secuestrar un sistema Windows.

Una vez que la víctima conecta la unidad USB maliciosa, se engaña al PC para que muestre un mensaje que dice que el USB no funciona correctamente, pero en realidad, la memoria USB está secuestrando ”secretamente” al PC para vincular el servidor de comando y control del atacante.

Luego, se recopila una gran cantidad de información del sistema comprometido y se envía de vuelta al servidor C2. Esto incluye nombre de usuario, nombre de host, privilegio del sistema del usuario, modelo de computador, capacidad de memoria, número de serie del sistema operativo, código de idioma, número de usuarios, compilación del sistema operativo, versión del sistema operativo, memoria libre disponible… y bueno, mucho más.

El código principal de Jscript ingresa en un bucle infinito que duerme durante 2 minutos en cada iteración del bucle y luego obtiene un nuevo comando del comando y control.

Cerrando…

Para resumir, esta técnica de reprogramación de dispositivos USB es utilizada por los cibercriminales desde hace tiempo. Pero como todos los ciberataques, nunca son iguales, siempre varían valiéndose de distintas técnicas, como en este caso la Ingeniería Social a través de la carta. Es por eso que es indispensable que las personas se concienticen y entiendan los riesgos de, por ejemplo, conectar un dispositivo externo desconocido.