Vault Exfiltrator es un payload diseñado para que un USB Rubber Ducky extraiga físicamente archivos de bases de datos de gestores de contraseñas del sistema objetivo. A diferencia de otros payloads de exfiltración que envían los datos a un servidor remoto, este los copia directamente al almacenamiento USB, demostrando el riesgo de exposición de datos en entornos con acceso físico.
El payload está oficialmente incluido en el repositorio oficial de Hak5 y fue publicado en enero de 2026 tras su revisión y aceptación.
Cómo funciona
El USB Rubber Ducky, al insertarse en un ordenador Windows desbloqueado, ejecuta un script en DuckyScript que:
- Abre un terminal oculto mediante WINDOWS + R y lanza PowerShell en modo invisible.
- Ejecuta un script en memoria que escanea las ubicaciones estándar de más de 8 gestores de contraseñas comunes, incluyendo: KeePass, Bitwarden, 1Password, LastPass, Dashlane, RoboForm, Keeper, Password Safe, y otros.
- Para cada archivo de base de datos encontrado, copia su contenido a la unidad USB Rubber Ducky (por defecto, en una carpeta Exfiltrated_Vaults).
- Finaliza la ejecución sin dejar rastro en el sistema: la sesión de PowerShell se cierra automáticamente y no se generan logs interactivos.
El payload aprovecha la etiqueta de volumen de la unidad USB para ubicarse a sí mismo. Por defecto espera que la unidad se llame «DUCKY», aunque este parámetro puede modificarse en el script.
Preparación del payload
- Descarga el payload original: Ve al repositorio oficial de Hak5 y obtén el archivo payload.txt.
- Configura el nombre de tu unidad USB Rubber Ducky: El script contiene la línea:textSTRING $drive = «DUCKY» Si tu unidad tiene otro nombre de etiqueta (por ejemplo, «RUBBERDUCKY» o «USB»), modifica esta línea para que coincida. En caso de duda, puedes renombrar la unidad USB desde el propio sistema.
- Opcional: cambia la carpeta de destino: Por defecto los archivos se guardan en Exfiltrated_Vaults\ dentro de la unidad USB. Puedes modificar esta ruta editando la variable $outputFolder en el script.
- Codifica el payload: Usa PayloadStudio (disponible en la web de Hak5) para convertir el payload.txt en inject.bin. También puedes usar duckencoder si prefieres línea de comandos.
- Carga el payload al Rubber Ducky: Copia el archivo inject.bin generado en la raíz de la unidad USB Rubber Ducky.
Despliegue
- Inserta el USB Rubber Ducky en el ordenador objetivo (debe estar desbloqueado).
- El payload se ejecuta automáticamente en menos de 5 segundos, sin necesidad de interacción del usuario.
- Los archivos de bases de datos de gestores de contraseñas se copian a la carpeta Exfiltrated_Vaults en la propia unidad USB.
- Una vez finalizado, puedes retirar el dispositivo. No queda ningún proceso en ejecución ni registro de actividad en PowerShell.
¿Por qué es efectivo?
La exfiltración física mediante USB Rubber Ducky tiene varias ventajas sobre la exfiltración por red:
- No requiere conexión saliente: Funciona en redes aisladas o con estrictos controles de firewall.
- No genera tráfico de red sospechoso: La copia se realiza directamente al dispositivo USB.
- Evita soluciones de DLP basadas en red: Como la transferencia es local, no se activan alertas de exfiltración por red.
- Rápido y silencioso: Todo el proceso dura apenas segundos y no deja logs en el sistema.
Aviso ético
FOR AUTHORIZED PENETRATION TESTING AND EDUCATIONAL PURPOSES ONLY
Este payload está diseñado exclusivamente para pruebas de penetración autorizadas y fines educativos. Solo debe utilizarse en sistemas de tu propiedad o con permiso explícito por escrito del propietario del sistema. El uso no autorizado puede constituir un delito informático.
Enlace al repositorio oficial
Vault Exfiltrator es un payload oficial incluido en el repositorio de Hak5. Puedes consultar el código fuente, la documentación completa y las instrucciones de instalación en:
