Il team di sicurezza trova il malware che dirotta le smart card USB

Un team di ricercatori ha creato un pezzo di malware proof-of-concept in grado di fornire agli hacker il controllo dei lettori di smart card USB collegati a un computer Windows infetto su Internet.

Il malware installa un driver speciale sul computer infetto che consente di condividere su Internet i dispositivi USB ad esso connessi con il computer dell'aggressore.

Nel caso dei lettori di smart card USB, il l'utente malintenzionato può utilizzare il software middleware fornito dal produttore della smart card per eseguire operazioni con la carta della vittima come se fosse collegato al proprio computer, ha dichiarato Paul Rascagneres, un consulente di sicurezza IT presso la security security con sede in Lussemburgo. g e la società di consulenza Itrust Consulting, la scorsa settimana. Rascagneres è anche il fondatore e leader di un progetto di analisi e ingegneria del malware chiamato malware.lu, il cui team ha progettato questo malware per la condivisione USB.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Ci sono già documentati casi di malware che dirottano i dispositivi con smart card sul computer locale e li utilizza tramite l'API (application programming interface) fornita dal produttore.

Tuttavia, il malware proof-of-concept sviluppato dal team malware.lu prende questo attacco anche più lontano e condivide il dispositivo USB su TCP / IP in forma "raw", ha detto Rascagneres. Un altro driver installato sul computer dell'attaccante lo fa apparire come se il dispositivo fosse collegato localmente.

Rascagneres ha in programma di mostrare come funziona l'attacco alla conferenza sulla sicurezza MalCon a Nuova Delhi, in India, il 24 novembre.

Minaccia intelligente sicurezza delle carte

Le smart card sono utilizzate per una varietà di scopi, ma più comunemente per l'autenticazione e la firma di documenti in formato digitale. Alcune banche forniscono ai loro clienti smart card e lettori per l'autenticazione sicura con i loro sistemi bancari online. Alcune aziende utilizzano le smart card per autenticare in remoto i dipendenti sulle loro reti aziendali. Inoltre, alcuni paesi hanno introdotto carte di identità elettroniche che possono essere utilizzate dai cittadini per autenticare ed eseguire varie operazioni sui siti web governativi.

Rascagneres e il team malware.lu hanno testato il loro prototipo di malware con la carta d'identità elettronica (eID) nazionale utilizzata Belgio e alcune carte intelligenti utilizzate dalle banche belghe. L'eID belga consente ai cittadini di presentare le tasse online, firmare documenti digitali, presentare reclami alla polizia e altro ancora.

Tuttavia, in teoria la funzionalità di condivisione dei dispositivi USB del malware dovrebbe funzionare con qualsiasi tipo di smart card e lettore di smart card USB, il ricercatore ha detto.

Nella maggior parte dei casi, le smart card vengono utilizzate insieme a PIN o password. Il prototipo malware progettato dal team malware.lu ha un componente keylogger per rubare quelle credenziali quando gli utenti le immettono tramite le loro tastiere.

Tuttavia, se il lettore di smart card include una tastiera fisica per l'inserimento del PIN, allora questo tipo di L'attacco non funzionerà, ha detto Rascagneres.

I driver creati dai ricercatori non sono firmati digitalmente con un certificato valido, quindi non possono essere installati su versioni di Windows che richiedono la firma di driver installati, come le versioni a 64 bit di Windows 7. Tuttavia, un vero aggressore potrebbe firmare i driver con certificati rubati prima di distribuire tali malware.

Inoltre, è noto che malware come TDL4 è in grado di disabilitare i criteri di firma dei driver nelle versioni a 64 bit di Windows 7 usando un rootkit-bootkit-componente-boot che viene eseguito prima del caricamento del sistema operativo.

L'attacco è quasi completamente trasparente per l'utente, dal momento che non impedirà loro di usare la propria smart card come al solito, ha detto Rascagneres. L'unico regalo potrebbe essere l'attività lampeggiante condotta sul lettore di smart card quando la carta viene raggiunta dall'attaccante, ha detto.