Ataque BadUSB: Como um cabo USB se transforma em um teclado
O item mais perigoso na sua bolsa pode ser o cabo em que você menos pensa. Um cabo USB, um pen drive reserva, o carregador "gratuito" que alguém deixou na sala de reuniões. Todos parecem inofensivos. Mas, ao conectar um deles, se ele tiver sido transformado em um dispositivo BadUSB, seu computador fará algo estranho no primeiro meio segundo: ele reconhecerá o cabo como um teclado e permitirá que ele comece a digitar.
Esse é o truque. O BadUSB não é um vírus que você pode detectar com um scanner. É um ciberataque que abusa das funcionalidades padrão do USB, um dos vetores de ataque mais sorrateiros em toda a área de segurança cibernética. E para quem possui criptomoedas, essa digitação silenciosa pode custar sua carteira sem que você perceba. Veja como funciona, por que é tão difícil de impedir e por que os usuários de criptomoedas estão diretamente na zona de risco.
O que é um ataque BadUSB e por que ele é perigoso?
Todo dispositivo USB, desde um pen drive de 3 dólares até uma webcam, funciona com um minúsculo microcontrolador com seu próprio firmware. Esse firmware é o que diz ao seu computador "Eu sou um teclado" ou "Eu sou um dispositivo de armazenamento". Um ataque BadUSB reescreve esse firmware, fazendo com que o dispositivo minta. O pen drive que você pensa ser apenas um dispositivo de armazenamento se anuncia silenciosamente como um teclado ou uma placa de rede, e o sistema operacional aceita essa informação. Sem aviso prévio. Sem qualquer alerta.
Por que isso é tão importante? Por causa de como os computadores tratam os teclados. Um teclado é um Dispositivo de Interface Humana (HID, na sigla em inglês), e todos os sistemas operacionais confiam totalmente na entrada HID. Eles pressupõem que uma pessoa real esteja sentada ali, pressionando teclas reais. Portanto, um dispositivo USB malicioso que se passa por um teclado herda toda essa confiança e começa a digitar comandos na velocidade da máquina.
O alerta de 2014
A ideia foi apresentada ao público na Black Hat USA 2014, quando dois pesquisadores da SR Labs, Karsten Nohl e Jakob Lell, subiram ao palco e a demonstraram. A palestra deles tinha um título excelente: "BadUSB — Sobre Acessórios que se Tornam Malignos". Um pen drive de aparência normal, reprogramado para funcionar como um teclado, sequestrava uma máquina sem que o usuário percebesse nada. Semanas depois, Adam Caudill e Brandon Wilson divulgaram um código de exploração funcional na DerbyCon. Esse foi o ponto de virada. O BadUSB deixou de ser um truque de laboratório e se tornou algo que qualquer pessoa com um fim de semana livre podia construir.
Por que você não pode simplesmente corrigir isso?
Eis a parte que ainda preocupa os especialistas em segurança. A maioria dos controladores USB aceita novos firmwares sem assinatura de código e sem qualquer tipo de autenticação. Nada verifica se a atualização veio de uma fonte confiável. Portanto, a vulnerabilidade não está em um programa com bugs que possa ser corrigido. Ela reside no próprio modelo de confiança do USB.
Seu antivírus verifica arquivos. O BadUSB não precisa de um arquivo. O comportamento malicioso está embutido no firmware, e o ataque em si consiste apenas em comandos de teclado. Nada é gravado no disco para ser detectado. É assim que um laptop totalmente atualizado e protegido ainda é vulnerável a um cabo de US$ 200.
Como um ataque BadUSB se desenrola em segundos
Imagine a sequência. Você conecta o cabo. Ele enumera, informando ao computador que se trata de um teclado, e em um ou dois segundos começa a disparar sequências de teclas a partir de um conjunto de dados previamente carregado pelo operador. Nenhum ser humano digita tão rápido. Ninguém chega perto.
Uma carga maliciosa típica abre uma janela de comando oculta ou um prompt do PowerShell, geralmente em algum lugar que você nunca vê, baixa um script da internet e o executa. O cabo digita o código. A internet fornece o malware. Quando você olha para a tela, já está tudo pronto.
Dois segundos de digitação fazem muita diferença. Abra um terminal. Elimine qualquer aviso de segurança. Baixe uma ferramenta de acesso remoto e inclua-a na inicialização para que ela sobreviva à reinicialização. No Windows, uma única linha de PowerShell é suficiente para obter o código de um servidor controlado pelo invasor e executá-lo. E o script pode ser paciente. Ele pode esperar por um determinado horário ou ser executado somente quando a tela for desbloqueada, de modo que a sequência de teclas se misture ao que você já estava fazendo. Seu antivírus não detecta nada, porque nada chegou como um arquivo. Chegou como entrada.
Por que isso continua funcionando? Simples. Você pode bloquear o software, restringir instalações, executar todos os scanners do mercado. Mas presume-se que o teclado seja você. Essa única suposição é o segredo do jogo, e o BadUSB a supera por definição.
Ferramentas BadUSB que você pode comprar: Rubber Ducky para Flipper
Durante anos, isso parecia coisa de filme de espionagem. Não mais. Equipamentos prontos para uso fazem injeção de teclas assim que saem da caixa, e os preços são surpreendentemente normais.
O USB Rubber Ducky da Hak5 é um clássico: um dispositivo que se parece com um pen drive, programado em uma linguagem simples chamada DuckyScript, criado exatamente para isso. O Flipper Zero, uma ferramenta multifuncional de bolso que viralizou, vem com um recurso BadUSB integrado e custa cerca de US$ 169. E depois há o O.MG Cable, que é o que deveria te preocupar mais, porque não é um pen drive. É um cabo.
O cabo O.MG é idêntico a um cabo USB-C ou da Apple comum. Por dentro, esconde um chip sem fio e uma pequena interface web que o usuário acessa via Wi-Fi. A versão Elite dispara até 890 comandos por segundo e possui um keylogger integrado que armazena até 650.000 deles. Quando ocioso, ele carrega o seu telefone e transfere dados como qualquer outro cabo. Você jamais perceberia. Essa é a ideia.
| Ferramenta | Fator de forma | Velocidade de injeção | Controle sem fio | Preço aproximado |
|---|---|---|---|---|
| Patinho de borracha USB | pen drive | Rápido (com roteiro) | Não | ~$60 |
| Flipper Zero | Ferramenta multifuncional de bolso | Rápido (com roteiro) | Limitado | ~$169 |
| Cabo O.MG (Elite) | Cabo de aparência normal | Até 890 teclas/segundo | Sim (Wi-Fi) | ~$200 |
Para se ter uma ideia, um implante comparável no passado, do tipo supostamente construído por agências de inteligência, custava dezenas de milhares de dólares. O cabo O.MG recria grande parte dessa capacidade pelo preço de um bom jantar. A barreira de entrada praticamente desapareceu.
Por que os detentores de criptomoedas são um alvo principal do BadUSB
A maioria dos artigos se limita à perspectiva de TI corporativa. Eu quero ir além, porque se você investe em criptomoedas, seu modelo de ameaça é diferente e, honestamente, um pouco pior.
A troca da área de transferência
Um ataque BadUSB não precisa invadir sua carteira. Ele só precisa alterar uma coisa: sua área de transferência. O payload injetado instala um sequestrador de área de transferência em segundos. Depois disso, toda vez que você copiar um endereço de criptomoeda para enviar fundos, o malware silenciosamente o substituirá pelo endereço do atacante. Você cola o que parece certo. Você confirma. O dinheiro cai na carteira de um desconhecido.
Isso não é teórico. Um sequestrador de área de transferência foi flagrado monitorando mais de dois milhões de endereços de Bitcoin, trocando-os por carteiras de atacantes em tempo real. Em uma campanha de 2024 apelidada de GitVenom, repositórios de código falsos distribuíram malware de troca de endereços e roubaram aproximadamente US$ 485.000 em Bitcoin. O truque é perverso porque os endereços de criptomoedas são longas sequências aleatórias que ninguém lê caractere por caractere. Você verifica os quatro primeiros, verifica os quatro últimos, eles coincidem, você clica em enviar. A troca se esconde no meio, exatamente onde seus olhos nunca vão. E as consequências são enormes: de acordo com a Chainalysis , cerca de US$ 2,2 bilhões em criptomoedas foram roubados em 2024, com a violação de chaves privadas sendo responsável por 43,8% dessas perdas.
Uma carteira de hardware realmente te ajuda a economizar?
Na maioria dos casos, sim, e vale a pena esclarecer o porquê. Uma Ledger ou Trezor armazena sua frase mnemônica dentro de um Elemento Seguro. As chaves privadas são criadas ali e nunca saem. Somente uma transação assinada atravessa o cabo USB. Portanto, um dispositivo USB malicioso digitando comandos aleatoriamente não pode simplesmente extrair sua frase mnemônica de uma carteira de hardware em funcionamento. Toda a arquitetura é construída para impedir exatamente isso.
Mas existem duas falhas reais. A primeira é a engenharia social. Em 2021, golpistas enviaram dispositivos Ledger falsificados para pessoas cujos endereços residenciais haviam sido vazados na violação de dados da Ledger em 2020. O hardware falsificado era enviado com um bilhete instruindo as vítimas a digitarem sua frase mnemônica de 24 palavras em um aplicativo incluído, como relatado pela CoinDesk . Nenhuma vulnerabilidade era necessária. Apenas uma embalagem convincente e um pouco de medo. A segunda falha está na cadeia de suprimentos. Pesquisadores da Kraken demonstraram que o chip que controla a conexão USB em uma carteira de hardware, aquele separado do Elemento Seguro, poderia ser adulterado antes mesmo do dispositivo chegar ao comprador.
A lição não é que "carteiras de hardware são inúteis". Elas são a ferramenta certa, ponto final. A lição é que o ponto fraco passa a ser você: o que você copia, o que você digita e a origem do seu dispositivo.
Quão comum é, na realidade, a ameaça via USB?
É tentador classificar o BadUSB como "interessante, mas raro". Os dados mostram o contrário, pelo menos no que diz respeito à ameaça mais ampla do USB.
A empresa de segurança Honeywell monitora malwares encontrados em instalações industriais. Em seu relatório de 2024, a Honeywell constatou que 51% dos malwares detectados foram criados para se propagar por meio de dispositivos USB, um aumento significativo em relação aos 9% registrados em 2019. Desses malwares para USB, 82% poderiam interromper operações industriais. O USB não é uma superfície de ataque inativa. Pelo contrário, está em constante crescimento.
E o fator humano é a parte mais fácil de explorar. Em um estudo bastante conhecido, pesquisadores da Universidade de Illinois espalharam 297 pen drives pelo campus. As pessoas os pegaram e os conectaram, o primeiro em poucos minutos. A Curiosity faz o trabalho do atacante de graça.
| Encontrando | Figura | Fonte | Ano |
|---|---|---|---|
| Malware de site OT que se propaga via USB | 51% (contra 9% em 2019) | Honeywell | 2024 |
| Esse malware USB é capaz de interromper operações. | 82% | Honeywell | 2024 |
| Criptomoedas roubadas e compartilhadas após violação de chave privada. | US$ 2,2 bilhões / 43,8% | Análise em cadeia | 2024 |
| Unidades USB que caem e são conectadas | Aproximadamente metade, em questão de minutos. | Universidade de Illinois | 2016 |
Uma ressalva importante: o FBI e a FCC emitiram alertas públicos em 2023 sobre o "juice jacking" em estações de carregamento de aeroportos e shoppings. Esses alertas foram preventivos e nenhum caso grave confirmado veio à tona. Ainda assim, a vulnerabilidade apontada por eles, uma porta de carregamento que também pode transferir dados, é exatamente o que o BadUSB explora. A questão não é que haja um cabo com armadilha em cada aeroporto, mas sim que a mesma porta USB transmite energia e dados pelos mesmos pinos; portanto, uma porta que você não pode inspecionar é uma porta na qual você não pode confiar totalmente.
Como prevenir ataques BadUSB e proteger criptomoedas
A boa notícia? A prevenção de ataques BadUSB é, em sua maioria, barata e baseada em mudanças de comportamento. Você não precisa de softwares sofisticados, basta adotar um novo hábito.
- Não conecte nenhum dispositivo ou cabo USB que você não tenha comprado ou em que não confie totalmente. O brinde da conferência, o pen drive que você encontrou no estacionamento, o cabo emprestado, tudo isso representa um risco. Trate-os como se fossem uma agulha de um estranho.
- Leve consigo um bloqueador de dados USB, também chamado de "preservativo USB", para carregar dispositivos em público. Ele corta fisicamente os pinos de dados e permite a passagem apenas de energia, o que impede tanto o uso indevido de dispositivos conectados à porta USB quanto a injeção de dados por meio dessa porta.
- Especificamente para criptomoedas, sempre verifique o endereço de recebimento completo na tela da sua carteira de hardware antes de aprovar qualquer transação. Esse simples hábito impede a troca de endereços pela área de transferência, pois o endereço no dispositivo confiável não corresponderá ao endereço inserido pelo malware.
- Compre carteiras de hardware diretamente do fabricante, nunca de um revendedor terceirizado ou de um desconhecido, e nunca confie em um dispositivo que simplesmente aparece sem aviso prévio.
- No lado do dispositivo final, o controle de dispositivos USB, a lista de permissões HID e as ferramentas de gerenciamento de dispositivos finais podem impedir completamente a conexão de teclados não reconhecidos. Em dispositivos pessoais, recursos como o aviso "Permitir que acessórios se conectem" da Apple ou a configuração de desativação de USB com a tela bloqueada do Android fecham essa porta.
Nenhuma delas é exótica. São a versão digital de recusar comida que um estranho lhe oferece na rua.
Conclusão sobre BadUSB e segurança USB
O BadUSB é perturbador justamente por ser tão comum. Sem vulnerabilidades de dia zero, sem necessidade de gênios, apenas a suposição de que um cabo é apenas um cabo e um teclado é apenas você. Essa suposição está errada, e o equipamento para provar o contrário agora custa quase o mesmo que o celular que você está carregando.
Para quem possui criptomoedas, a solução não exige paranoia, apenas disciplina. Verifique os endereços na tela do dispositivo, não no computador. Compre seu hardware diretamente da fonte. E da próxima vez que alguém lhe oferecer um cabo que você não trouxe, pergunte-se o que ele pode estar digitando. O que você teria conectado hoje sem pensar duas vezes?
