Créditos de las imágenes: freestocks.
Investigadores de Malware de Israel han desarrollado un nuevo ataque llamado “Malboard”. El mismo evade varios productos de detección que pretenden verificar continuamente la identidad del usuario basándose en características de pulsaciones personalizadas.
En un nuevo documento mostrando el Malboard los israelíes revelan el método.
Publicado en la revista Computer and Security, se revela un sofisticado ataque en el que un teclado USB comprometido genera y envía automáticamente pulsaciones maliciosas que imitan al usuario atacado. La idea es reproducir sus características de comportamiento.
Las pulsaciones en un teclado generadas de manera malintencionada no suelen coincidir con la tipificación humana y pueden detectarse fácilmente.
Sin embargo, mediante el uso de inteligencia artificial, este ataque Malboard genera tipeos de forma autónoma según el estilo del usuario. Inyecta las pulsaciones de teclas como software malicioso en el teclado y evita su detección. Los teclados utilizados en la investigación fueron productos de Microsoft, Lenovo y Dell.
En el estudio, 30 personas realizaron tres pruebas de pulsación de teclas diferentes contra tres mecanismos de detección existentes, incluyendo KeyTrac, TypingDNA y DuckHunt.
“Nuestro ataque evadió la detección en el 83% – 100% de los casos”, dice el Doctor Nir Nissim, jefe del Laboratorio de Malware de BGU.
Malboard fue efectivo en dos escenarios: un atacante remoto que usa comunicación inalámbrica, y un atacante interno, como un empleado, que opera y usa físicamente Malboard”.
Nuevos módulos de detección propuestos:
Tanto el mecanismo de ataque como el de detección se desarrollaron como parte de la tesis de maestría de Nitzan Farhi, estudiante de BGU.
“Nuestros módulos de detección propuestos son confiables y seguros, basados en información que se puede medir a partir de recursos de canales laterales, además de la transmisión de datos”, dice Farhi.
“Estos incluyen el consumo de energía del teclado; el sonido de las pulsaciones de teclado; y el comportamiento del usuario asociado con su capacidad para responder a errores tipográficos”.
“Cada uno de los módulos de detección propuestos es capaz de detectar el ataque Malboard en el 100% de los casos, sin falsos positivos”, agrega el Dr. Nissim.
Al usarlos juntos como un marco de detección conjunto se asegurará de que una organización sea inmune al ataque de Malboard, así como a otros ataques de pulsación de teclas.
Los investigadores proponen utilizar este marco de detección diariamente para cada teclado cuando se compran, ya que los teclados maliciosos sofisticados pueden retrasar su actividad maliciosa para un período de tiempo posterior.
Muchos de los nuevos ataques pueden detectar la presencia de mecanismos de seguridad y, por lo tanto, logran evadirlos o deshabilitarlos. Los investigadores de BGU planean expandir el trabajo en otros dispositivos USB populares, incluidos movimientos, clics y la duración del uso del mouse del ordenador.
También planean mejorar el módulo de detección de inserción de errores tipográficos y combinarlo con otros mecanismos dinámicos de pulsación de teclas existentes para la autenticación del usuario, ya que este comportamiento es difícil de replicar.