USB Drop Attack: a armadilha que está em dispositivos “esquecidos”

Imagine essa cena: você está caminhando pela calçada distraidamente e, de repente, ao olhar para o chão, encontra um cabo USB, aparentemente novinho, intacto e esquecido. Você então recolhe o dispositivo do chão e resolve conectá-lo ali mesmo no telefone celular que está no seu bolso, curioso para saber se o cabo está realmente funcionando.

Você não faz ideia, mas isso é tudo uma grande armadilha, e em poucos segundos um malware é instalado, e todas as suas contas, senhas e documentos são acessadas por um hacker, em uma técnica extremamente danosa chamada de USB Drop Attack, ou ataque de queda de USB.

Essa situação tem sido cada vez mais comum e expõe que, embora todos estejam familiarizados com unidades USB, é altamente desaconselhável conectar qualquer unidade flash encontrada por aí ao sistema do computador ou do telefone celular.

Para saber como se defender plenamente de ataques cibernéticos que se aproveitam do USB Drop Attack, veja a seguir dicas valiosas repassadas pelo Diretor de Segurança da Informação da Symbioti, Schubert Baliza.

O que é o USB Drop Attack?

O mundo do crime cibernético tem seus modismos, e de tempos em tempos uma nova maneira de violação digital fica em alta entre os criminosos.

Esses crimes costumam se destacar pela facilidade de exploração e pela dificuldade de detecção, e normalmente se utilizam de combos que incluem táticas, técnicas e procedimentos distintos para criar um vetor de ataque, uma “porta de entrada” que permite a realização de uma ofensiva digital.

Atualmente, dispositivos USB maliciosos estão sendo utilizados como droppers, um tipo de programa malicioso (malware) projetado para instalar outros malwares no sistema da vítima.

Esses droppers maliciosos são do tipo Infostealers (“ladrões de informações” em tradução livre), especializados em roubar informações sensíveis da vítima.

O USB Drop Attack consiste em deixar dispositivos USB maliciosos (drops), como cabos, pendrives, mouses ou qualquer dispositivo que se conecta ao computador via USB e que seja de interesse da vítima, em locais estratégicos para que indivíduos desavisados os conectem em um computador, notebook, tablet ou telefone celular. 

“O objetivo pode variar entre estabelecer um canal de acesso remoto ao computador da vítima, exfiltrar dados (como senhas das redes sem fio do seu computador), roubar credenciais (onde o BadUSB age como um dropper para um Infostealer), instalar um malware de outro tipo, implementar keyloggers ou screenloggers (eram amplamente utilizados na era dos cartões de token bancário), entre outros”, alerta Schubert.

Quais são os dispositivos usados?

Dentre os dispositivos mais sofisticados usados nesse tipo de ataque cibernético e que executam comandos assim que são conectados, estão o:

• O.MG Cable: cabo USB malicioso projetado para parecer completamente normal;
• Rubber Ducky: pequeno dispositivo USB semelhante a um pendrive utilizado para Teste de Intrusão;
• Arduino: são dispositivos que utilizam a placa Arduino (ou placas similares) para fazer o computador acreditar que um teclado ou mouse está conectado, enviando assim comandos como se estivessem sendo digitados por uma pessoa.

“Nesta seara, os USBSticks (pendrives) são historicamente mais comuns. Primeiro, porque ele pode ser um pendrive válido, com um arquivo que chama a atenção do usuário que, ao clicar, executa códigos maliciosos. Este código pode estar dentro de um documento do Excel chamado “planilha de comissões.xlsx”, por exemplo, ou em um executável que parece um documento válido. Ou ainda dentro de um PDF, e assim por diante”, explica o diretor da Symbioti.

Com as políticas corporativas restringindo cada vez mais dispositivos de armazenamento removível, foram desenvolvidos os chamados BadUSB, que são dispositivos que parecem ter um propósito comum a qualquer unidade flash, mas que na verdade são capazes de invadir, espionar ou controlar um computador sem que o usuário perceba por não exigir cliques ou permissões da vítima.

Schubert Baliza cita como exemplos o RubberDuck, um projeto da Hak5 que “inclusive foi usado na série ‘Mr. Robot’, onde era demonstrado um ataque real”, e o Arduino Attiny85, que tem um baixo custo, pode ser usado para escrever códigos de emulação de teclado e é pequeno o suficiente para ser embarcado em qualquer lugar, como dentro de um mouse gamer, um teclado, pendrive, etc.

“No caso do Attiny85, ele pode usar portas USB distintas, como uma Fêmea, podendo se passar por diversos outros dispositivos, como um carregador por indução, por exemplo”, explica.

USB Drop Attack: criado para atacar organizações

O USB Drop Attack nasceu para ser usado contra empresas e organizações, pois basta que um funcionário menos precavido encontre um dispositivo de armazenamento USB no estacionamento, ao descer de seu veículo, que não pensará duas vezes em plugar o dispositivo em seu computador ao logar na rede. 

“Os cabos, por sua vez, são ataques mais novos, mais sofisticados e de maior custo. Geralmente não visam diretamente servidores, pois o foco é comprometer a máquina do usuário e, a partir dali, utilizá-lo como pivô para outros ativos na organização. Ou simplesmente eles exfiltram a senha do wi-fi, por exemplo, sendo possível comprometer a rede remotamente”, indica Schubert Baliza.

É importante entender, avisa o diretor da Symbioti, que o dispositivo a ser plugado é só um vetor inicial de um ataque mais complexo, mas o Drop pode ser um USB killer, que faz com que a porta ou o dispositivo conectado ao cabo fique queimado e se danifique fisicamente devido à alta tensão que é injetada no equipamento. 

“Um caso emblemático é o malware mais estudado da história, o Stuxnet, que utilizava uma vulnerabilidade nos dispositivos de armazenamento para comprometer outros dispositivos de armazenamento. Ele era totalmente discreto e era capaz de se atualizar via internet. Seu alvo eram turbinas de enriquecimento de urânio da Siemens usadas em uma usina nuclear do Irã”.

Por que o USB Drop Attack é eficaz?

Uma série de fatores resultam na eficácia deste ataque digital e que tem ganhado adeptos entre os criminosos digitais.

A curiosidade humana, aliada à total falta de conhecimento técnico – afinal, que mal um simples pendrive pode fazer? – e combinado ainda com rotinas pesadas do ambiente corporativo, fazem com que a indução ao erro seja bem eficaz.

Schubert alerta que as pessoas mais suscetíveis a este tipo de golpe são as menos conscientes dos riscos cibernéticos.

Ele aponta que é praticamente uma obrigação que as empresas e organizações realizem treinamentos e capacitações com a equipe de colaboradores sobre boas práticas de segurança, a fim de evitar erros que podem levar ao vazamento de dados, principalmente em setores que lidam com alto volume de documentos e que tem como hábito fazer troca de arquivos por dispositivos móveis.

Impactos e como diminuir o risco de um ataque bem-sucedido

Os impactos de um ataque bem-sucedido podem ser devastadores. “Isso inclui a perda de dispositivo queimados, desvios financeiros, roubo de propriedade intelectual, espionagem corporativa/industrial, exposição de dados regulados, sequestro de dados ou até mesmo destruição de dados intencional, como os Wippers utilizados na guerra da Ucrânia”, explica Schubert.

O diretor da Symbioti explica que não existe uma única técnica que atenue este risco, mas lista uma série de intervenções e ações de segurança que devem ser feitas:

• Políticas de segurança da informação;
• Treinamento e conscientização dos funcionários;
• Políticas de bloqueio de USB (que bloqueia pendrive, mas não os BADUSB);
• Soluções de segurança capaz de mitigar o uso de BADUSB, como no caso do antivírus da Kaspersky (veja mais aqui);
• Soluções de monitoramento dos endpoints, capazes de detectar anomalias nos computadores e levantar a bandeira para um analista investigar (como é o caso do serviço gerenciado de MDR – Management Detection and Response);
• Testar estratégias de engenharia social contra seus usuários para saber se eles reagem de forma adequada (fazendo o que um atacante faria como teste);
• Auditar controles para garantir que tudo que foi definido realmente está implementado;
• Manter os softwares atualizados para que não possam ser abusados nesta estratégia;
• Segmentação da rede para evitar que ativos corrompidos comprometam outros ativos;
• Uso de autenticação multifator (MFA).

Proteja sua empresa com a Symbioti

A Symbioti oferece soluções avançadas de cibersegurança para resguardar a sua empresa de ameaças virtuais.

Temos soluções avançadas de segurança digital, combinando tecnologia de ponta e Inteligência Artificial para proteger sua rede, seus sistemas e seus colaboradores contra ameaças cada vez mais elaboradas. 

Saiba mais acessando aqui.