ФБР предупредило о новой операции FIN7 по распространению вредоносного ПО GRIFFON.
Федеральное бюро расследований США предупредило организации и экспертов по безопасности о новой вредоносной кампании по распространению бэкдора GRIFFON. Согласно уведомлению ФБР, киберпреступная группировка FIN7 избрала весьма необычный способ заражения целевых систем – рассылает вредоносные программы по обычной почте.
FIN7 отправляет своим жертвам бандероли с подарочными сертификатами и мягкими игрушками. В бандеролях также содержатся USB флэш-накопители, которые после подключения к компьютеру заражают его бэкдором GRIFFON.
Об одном таком случае недавно сообщила ИБ-компания Trustwave. Ее клиент (неназванный гостиничный оператор) получил по почте пакет с подарочной картой BestBuy и USB флэш-накопителем. При подключении к компьютеру «флэшка» играла роль клавиатуры, запускающей команды для загрузки и выполнения вредоносного ПО.
Однако клиент Trustwave – не единственная жертва новой операции FIN7. Вышеупомянутые бандероли получили множество компаний, в том числе рестораны, магазины и гостиничные операторы. Бандероли адресовались сотрудникам отделов кадров, IT-отделов и даже высшему руководству.
Используемые киберпреступниками USB флэш-накопители стоят недорого, порядка $5-14 в зависимости от поставщика и страны доставки. Согласно уведомлению ФБР, в них используются микроконтроллеры ATMEGA24U, однако в устройстве, исследованном специалистами Trustwave, использовался микроконтроллер ATMEGA32U4. И в том, и в другом устройстве на материнской плате было напечатано HW-374. Как было установлено, в обеих «флэшках» использовалась плата Arduino Leonardo, запрограммированная выполнять действия клавиатуры и компьютерной мыши. Кастомизировать нажатия клавиш и движения мыши можно с помощью Arduino IDE.
Одно найти легче, чем другое. Спойлер: это не темная материя