Нова технологія проти небезпечних шпигунських програм

Компанія «Доктор Веб» запатентувала унікальну технологію, яка покликана убезпечити користувачів від нового покоління шкідливих програм, здатних викрадати конфіденційну інформацію з інфікованих пристроїв за допомогою вбудованої в ноутбуки і планшетні комп’ютери веб-камери. Один із зразків такого ПО був доданий в вірусну базу Dr.Web під ім’ям BackDoor.EyeSpy.1.

Асортимент використовуваних зловмисниками технологій, що дозволяють викрадати конфіденційну інформацію у користувачів, безперервно розширюється. Так, фахівцями компанії «Доктор Веб» була виявлена ​​шкідлива програма, здатна за допомогою веб-камери розпізнавати відображення екранного зображення на сітківці ока користувача і викрадати таким чином вводиться їм інформацію. Для захисту від подібних атак компанія «Доктор Веб» розробила і запатентувала спеціальне оптичне поляризаційне покриття, яке отримало назву IR-Glasses, яке, зокрема, можуть використовувати виробники очок.

Троянець BackDoor.EyeSpy.1, досліджений вірусними аналітиками компанії «Доктор Веб», поширюється на файлообмінних сайтах і торрентах під виглядом різних «корисних» додатків, зокрема комп’ютерних ігор. Запустили в атакується системі, що працює під управлінням ОС Windows, шкідлива програма розшифровує і зберігає в папку Users \% username% \ AppData \ Roaming \ власний виконуваний файл, а також файл конфігурації, після чого додаток реєструється в параметрах автозавантаження. Для установки зв’язку з керуючим сервером BackDoor.EyeSpy.1 використовує шифрований бінарний протокол, при цьому адреса командного центру генерується автоматично за допомогою спеціального алгоритму в момент ініціалізації троянця.

Під час активного з’єднання з командним центром, BackDoor.EyeSpy.1 відправляє попередньо зібрану інформацію про інфікованому комп’ютері і переходить в режим очікування команд від зловмисників. Серед іншого, BackDoor.EyeSpy.1 може виконувати наступні функції:

фіксування натискань користувачем клавіш (кейлоггінг);
створення і передача зловмисникам знімків екрану;
передача на керуючий сервер списку встановлених і запущених в системі додатків;
запуск від імені адміністратора пристрою командного інтерпретатора і виконання в ньому різних команд.

Однак найбільш цікавою і незвичайною функцією BackDoor.EyeSpy.1 є можливість підключення до веб-камері інфікованого пристрою з метою викрадення вводиться користувачем інформації. За допомогою веб-камери троянець аналізує відображення демонструють на екрані пристрою зображення на сітківці ока користувача і здатний розпізнавати дані, що вводяться їм у різні екранні форми. Таким чином троянець може викрадати у своїх жертв різну конфіденційну інформацію – номери банківських карт, логіни, а також паролі, якщо вони не захищені при наборі спеціальними маскують символами. Проведені фахівцями «Доктор Веб» дослідження показали, що шкідлива програма успішно розпізнає до 48% вводяться користувачем символів, якщо дозвіл матриці веб-камери становить менше 1 мегапікселя, і близько 76% при більш високій роздільній здатності. Якщо ж користувач носить окуляри, успішність реалізованого BackDoor.EyeSpy.1 алгоритму розпізнавання символів, що вводять може досягати 98%, оскільки поверхня скла прекрасно відображає зображення, що демонструється на моніторі комп’ютера.

В даний час зафіксовано значне число примірників троянця BackDoor.EyeSpy.1, переупаковували зловмисниками щоб уникнути сигнатурного детектив, тому нові зразки цієї шкідливої ​​програми потрапляють в вірусну базу з невеликою затримкою. Крім того, є підстави вважати, що BackDoor.EyeSpy.1 – це лише перший зразок даного типу загроз, і технологія викрадення інформації з використанням відображення екранного зображення на поверхні людського ока, швидше за все, буде вдосконалюватися зловмисниками і надалі. З метою убезпечити користувачів від подібних шкідливих програм фахівці Департаменту розробки і досліджень компанії «Доктор Веб» розробили спеціальне поляризаційне покриття для стекол окулярів, що спотворює відображення дисплея (що робить неможливим його розпізнавання шпигунським ПО), але не надає виляння на оптичні властивості скла. Покриття повністю пропускає світло сонячного спектра, проте в силу своєї структури певним чином змінює кут відображення падаючих на його поверхню променів, що вносить в видиме на склі відображення помітні оптичні спотворення. Співробітники «Доктор Веб» провели ряд експериментів з використанням концептуальної моделі, створеної на основі звичайних окулярів, на поверхню лінз яких було нанесено захисне покриття, – в результаті дослідів ефективність технології була підтверджена на практиці.

Дана розробка була запатентована компанією «Доктор Веб» і в даний час розглядається питання про її ліцензування для виробників очок і різних оптичних приладів. Передбачається, що ця технологія буде затребувана насамперед серед організацій і компаній, що висувають особливі вимоги до забезпечення інформаційної безпеки своєї діяльності, проте очевидно, що вона буде ефективна тільки в поєднанні з більш традиційними способами захисту інформації, такими як своєчасне резервне копіювання і використання сучасного антивірусного ПО.

Ссылка на основную публикацию