Группа безопасности обнаруживает вредоносное ПО, которое захватывает смарт-карты USB

Команда исследователей создала кусочек вредоносного кода с доказательством концепции, который может дать злоумышленникам управление считывателями смарт-карт USB, прикрепленными к зараженному компьютеру Windows через Интернет.

Вредоносная программа устанавливает на зараженном компьютере специальный драйвер, который позволяет подключенным к нему USB-устройствам совместно использовать Интернет с компьютером злоумышленника.

В случае считывателей смарт-карт USB злоумышленник может использовать программное обеспечение промежуточного программного обеспечения, предоставленное производителем смарт-карт, для выполнения операций с картой жертвы, как если бы оно было прикреплено к его собственному компьютеру, сказал Пол Раскагнерс, консультант по ИТ-безопасности в Люксембургском аудите безопасности г и консалтинговой фирмы Itrust Consulting, на прошлой неделе. Rascagneres также является основателем и руководителем проекта анализа и разработки вредоносных программ, названного malware.lu, чья команда разработала эту вредоносную программу для обмена данными с USB.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

Уже зарегистрированы случаев вредоносного ПО, которое захватывает устройства смарт-карты на локальном компьютере и использует их через API (интерфейс прикладного программирования), предоставленный изготовителем.

Однако вредоносная программа с доказательством концепции, разработанная командой malware.lu, принимает эту атаку еще больше, и разделяет USB-устройство по TCP / IP в «сырой» форме, сказал Раскагнерс. Другой драйвер, установленный на компьютере злоумышленника, показывает, что устройство подключено локально.

Rascagneres планирует продемонстрировать, как атака работает на конференции по безопасности MalCon в Нью-Дели, Индия, 24 ноября.

Угрожает умным защита карт

Смарт-карты используются для различных целей, но чаще всего для аутентификации и подписания документов в цифровом виде. Некоторые банки предоставляют своим клиентам смарт-карты и считыватели для безопасной аутентификации с помощью своих онлайн-банковских систем. Некоторые компании используют смарт-карты для дистанционной аутентификации сотрудников в своих корпоративных сетях. Кроме того, в некоторых странах введены электронные удостоверения личности, которые могут использоваться гражданами для аутентификации и выполнения различных операций на правительственных веб-сайтах.

Rascagneres и команда malware.lu проверили свой прототип своего вредоносного ПО с национальной электронной идентификационной карточкой (eID), используемой в Бельгии и некоторых смарт-карт, используемых бельгийскими банками. Бельгийский eID позволяет гражданам подавать свои налоги в Интернете, подписывать цифровые документы, подавать жалобы в полицию и многое другое.

Однако теоретически функциональность совместного использования USB-устройств вредоносного ПО должна работать с любыми типами смарт-карт и считывателей смарт-карт USB, сказал исследователь.

В большинстве случаев смарт-карты используются вместе с ПИН-кодом или паролями. Прототип вредоносного ПО, разработанный командой malware.lu, имеет компонент кейлоггера, чтобы украсть эти учетные данные, когда пользователи вводят их через свои клавиатуры.

Однако, если устройство чтения смарт-карт содержит физическую клавиатуру для ввода PIN-кода, то этот тип атака не будет работать, сказал Раскагнерс.

Драйверы, созданные исследователями, не имеют цифровой подписки с действительным сертификатом, поэтому их нельзя установить в версиях Windows, которым требуются установленные драйверы, например 64-разрядные версии Windows 7. Однако реальный злоумышленник может подписать драйверы с украденными сертификатами перед распространением таких вредоносных программ.

Кроме того, известно, что вредоносное ПО, такое как TDL4, может отключить политику подписи драйвера в 64-разрядных версиях Windows 7 на используя загрузочный этап rootkit-bootkit-компонента, который запускается до загрузки операционной системы.

Атака почти полностью прозрачна для пользователя, так как она не помешает им использовать свою смарт-карту, как обычно, сказал Раскагнерс. Он сказал, что единственной поддачей может стать мигающая активность, которую ведет считыватель смарт-карт, когда к ней обращается злоумышленник.