USB-hackstick nu nog stiekemer; door eigen scripttaal en toetsenbordlampjes

De vernieuwde usb-hacktool, waarvan de eerste versie tien jaar geleden uitkwam, kan nu zelf detecteren of het is ingestoken op een Windows- of macOS-computer. Vervolgens kan het zelf de gepaste code voor het bewuste besturingssysteem uitvoeren, om uiteenlopende hackactiviteiten te ontplooien. Afhankelijk van de instellingen die een aanvaller aan zijn/haar Rubber Ducky meegeeft, kan de stick zichzelf ook uitschakelen als het 'ziet' dat het is ingestoken op een computer die niet het bedoelde doelwit is.

Wachtwoorden stelen

De voorgaande versies van de Rubber Ducky konden al dingen doen zoals het voorschotelen van een nep-inlogvenster voor Windows. Daardoor konden gebruikers dan onbedoeld hun gebruikersnaam en wachtwoord prijsgeven aan de usb-hackstick. Het kon ook ervoor zorgen dat alle wachtwoorden die zijn opgeslagen in webbrowser Chrome automatisch worden doorgestuurd naar een webserver naar keuze van de aanvaller, schrijft The Verge. De nieuwe versie kan echter nog veel meer.

Rubber Ducky-schepper Darren Kitchen heeft The Verge een uitgebreide toelichting gegeven over de nieuwe, flink verbeterde versie. De release daarvan valt samen met de 2022-editie van hackersconferentie DEF CON. Een van de belangrijkste verbeteringen is versie 3.0 van DuckyScript, een eigen taal speciaal voor deze hacktool. Daarmee kunnen nu complexe scripts worden opgesteld om geavanceerdere hackoperaties uit te voeren. Dit maakt bijvoorbeeld het detecteren van Windows en macOS mogelijk.

Menselijk lijkende invoer

Daarnaast kan de nieuwe Rubber Ducky pseudowillekeurige getallen genereren om die te gebruiken voor het inlassen van variabele pauzes in de invoer van toetsaanslagen. Daardoor kan de invoer van dit usb-apparaat - dat immers voor een computer een tweede, aangesloten toetsenbord is - meer menselijk lijken. Eventuele monitoring door securitysoftware op verdacht gedrag kan daarmee om de tuin worden geleid.

Verder heeft de verbeterde hackstick een gloednieuwe mogelijkheid voor datadiefstal, die gebaseerd is op een bijna 40 jaar oude pc-kerntechnologie. Het door Kitchen aangeprezen Keystroke Reflection gebruikt de lampjes voor caps lock, num lock en scroll lock als side-channel om gegevens te stelen. De aloude mogelijkheid voor een computer om die klassieke toetsenbordlampjes aan of uit te zetten, zijn in het virtuele toetsenbord van de Ducky te gebruiken als 'ontvanger'. In een soort Morse-code worden dan gegevens zoals bijvoorbeeld wachtwoorden verstuurd naar de usb-stick. Deze data wordt dan opgeslagen in een microgeheugenkaartje dat in de Ducky schuilt.