サイバーセキュリティ企業Trustwaveによれば、贈り物を装って攻撃用のUSBデバイスを郵送するという攻撃が確認されたそうだ(SpiderLabs Blogの記事、 BetaNewsの記事)。

問題のUSBデバイスは一見USBメモリーのようだがPCに接続するとUSBキーボードとして認識され、攻撃者が事前に設定したキーストロークを送ることができるという、いわゆる「USB Rubbery Ducky」攻撃用のデバイスだ。マルウェアを格納したUSBメモリーを使用する攻撃と比べ、自動再生設定に依存せず、セキュリティソフトウェアに検出されないといったメリットがある。

このデバイスは米大手量販店Best Buyを装った手紙に同封されており、手紙には長年の愛顧に謝意を示すため50ドルのギフトカードを送ること、ギフトカードで購入可能な対象商品のリストは同梱したUSBメモリーに保存されていることが記載されている。怪しげな手紙を受け取ったTrustwaveの顧客はデバイスをPCに接続せずにTrustwaveへ報告したため、被害にあうことはなかったという。

デバイスをTrustwaveが調査したところ、同じ型番のものがオンラインモールShopeeの台湾版で「虚擬鍵盤」などとして数百円で販売されていることが判明。PCに接続すると2段階のPowerShellコード実行を経てWindows Scripting Host上で実行されるJScriptコード(マルウェア本体)が無限ループにより常駐する。このJScriptコードは2分おきにC&Cサーバーへ接続してコマンド(別のJScriptコード)を待つ。最初の接続時にはPCから収集した情報をC&Cサーバーに送信するコマンドを受け取ったとのこと。

このタイプのUSBデバイスはセキュリティ専門家の間で広く知られており、物理的な侵入テストで会社周辺に落とすといったことも行われるが、実際の攻撃が発覚するのは珍しいとのことだ。