收到包含泰迪熊和USB的礼物包裹？

样的包裹被发送给多家企业，包括零售业、餐饮、酒店。武器化的USB设备模仿用户击键特征，启动PowerShell命令从远程服务器检索恶意软件。专家们观察到恶意代码联络域名与IP地址位于俄罗斯。

事实上，攻击者很容易找到像Arduino这样的开发板，进行配置为模拟键盘等人机界面设备(HID)，并启动一组预先配置的击键来加载和执行任何类型的恶意软件。分析中，研究人员检查了驱动器上是否有序列号等字样。在印刷电路板驱动器的顶部，看到了“HW-374”。通过谷歌搜索，很快地在shopee.tw上搜索到一个“BadubLeonardoUSBATMag32U4”出售。

该USB设备使用Arduino微控制器ATMEGA32U4，并编程模拟USB键盘。由于PC默认情况下信任键盘USB设备，一旦插入，键盘模拟器就会自动插入恶意命令。然后Powershell脚本运行第三阶段JavaScript，收集系统信息并删除其他恶意软件。根据FBI的警告，一旦收集到目标的信息，FIN7组织就开始横向移动以获取管理权限。在收集到的信息发送到C&C服务器之后。主Jscript代码会进入一个无限循环，在每个循环迭代中睡眠2分钟，然后从命令和控件获取一个新命令。

（编辑：鹤壁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!