Photo by Plush Design Studio on https://unsplash.com/photos/f94JPVrDbnY

資安業者Trustwave近日警告,人們經常聽到社交工程攻擊,手法從網釣攻擊、誘導使用者開啟惡意的連結或附加檔案,但也得留心實體的「邪惡USB」(BadUSB)攻擊,這樣的例子雖然不多,卻是實際存在的。

Trustwave最近發現的一個例子是,一個客戶收到了一個偽裝成來自Best Buy的包裏,內含提供給忠實客戶50美元的禮券,並附上一個USB隨身碟,表示當中含有可用禮券購買的商品。

然而該USB隨身碟卻是一個邪惡USB,它其實是個USB鍵盤,一旦安裝後就會自動注入惡意命令,連結遠端的C&C伺服器,回傳裝置資訊,從電腦型號、硬體資訊、作業系統資訊,到執行程序等,繼之下載其它的命令或惡意程式。

簡單地說,一旦USB的控制晶片被重新程式化以執行其它功能,它就可能被駭客用來發動攻擊,最終控制受害者電腦。

Trustwave表示,外界早就知道邪惡USB的存在,而且這些USB在坊間就能以低價購得,對於不論是送到家中或辦公室的USB裝置應該要有所警覺。

在Trustwave提出警告後,旋即收到其它類似的意外通報,指稱FIN7駭客集團自2015年就採用此種模式發動攻擊,而且鎖定了美國的旅館與零售產業。


Advertisement

更多 iThome相關內容