1 апреля 2015 года

Компания «Доктор Веб» запатентовала уникальную технологию, которая призвана обезопасить пользователей от нового поколения вредоносных программ, способных похищать конфиденциальную информацию с инфицированных устройств при помощи встроенной в ноутбуки и планшетные компьютеры веб-камеры. Один из образцов такого ПО был добавлен в вирусную базу Dr.Web под именем BackDoor.EyeSpy.1.

Ассортимент используемых злоумышленниками технологий, позволяющих похищать конфиденциальную информацию у пользователей, непрерывно расширяется. Так, специалистами компании «Доктор Веб» была обнаружена вредоносная программа, способная с помощью веб-камеры распознавать отражение экранного изображения на сетчатке глаза пользователя и похищать таким образом вводимую им информацию. Для защиты от подобных атак компания «Доктор Веб» разработала и запатентовала специальное оптическое поляризационное покрытие, получившее название IR-Glasses, которое, в частности, могут использовать производители очков.

Троянец BackDoor.EyeSpy.1, исследованный вирусными аналитиками компании «Доктор Веб», распространяется на файлообменных сайтах и торрентах под видом различных «полезных» приложений, в частности компьютерных игр. Запустившись в атакуемой системе, работающей под управлением ОС Windows, вредоносная программа расшифровывает и сохраняет в папку Users\%username%\AppData\Roaming\ собственный исполняемый файл, а также файл конфигурации, после чего приложение регистрируется в параметрах автозагрузки. Для установки связи с управляющим сервером BackDoor.EyeSpy.1 использует шифрованный бинарный протокол, при этом адрес командного центра генерируется автоматически при помощи специального алгоритма в момент инициализации троянца.

Установив соединение с командным центром, BackDoor.EyeSpy.1 отправляет предварительно собранную информацию об инфицированном компьютере и переходит в режим ожидания команд от злоумышленников. Среди прочего, BackDoor.EyeSpy.1 может выполнять следующие функции:

• фиксирование нажатий пользователем клавиш (кейлоггинг);
• создание и передача злоумышленникам снимков экрана;
• передача на управляющий сервер списка установленных и запущенных в системе приложений;
• запуск от имени Администратора устройства командного интерпретатора и выполнение в нем различных команд.

Однако наиболее интересной и необычной функцией BackDoor.EyeSpy.1 является возможность подключения к веб-камере инфицированного устройства с целью похищения вводимой пользователем информации. С помощью веб-камеры троянец анализирует отражение демонстрируемого на экране устройства изображения на сетчатке глаза пользователя и способен распознавать данные, вводимые им в различные экранные формы. Таким образом троянец может похищать у своих жертв различную конфиденциальную информацию — номера банковских карт, логины, а также пароли, если они не защищены при наборе специальными маскирующими символами. Проведенные специалистами «Доктор Веб» исследования показали, что вредоносная программа успешно распознает до 48% вводимых пользователем символов, если разрешение матрицы веб-камеры составляет менее 1 мегапиксела, и порядка 76% при более высоком разрешении. Если же пользователь носит очки, успешность реализуемого BackDoor.EyeSpy.1 алгоритма распознавания вводимых символов может достигать 98%, поскольку поверхность стекла прекрасно отражает изображение, демонстрируемое на мониторе компьютера.

В настоящее время зафиксировано значительное число экземпляров троянца BackDoor.EyeSpy.1, переупаковываемых злоумышленниками во избежание сигнатурного детекта, поэтому новые образцы этой вредоносной программы попадают в вирусную базу с небольшой задержкой. Кроме того, есть основания полагать, что BackDoor.EyeSpy.1 — это лишь первый образец данного типа угроз, и технология похищения информации с использованием отражения экранного изображения на поверхности человеческого глаза, скорее всего, будет совершенствоваться злоумышленниками и в дальнейшем. С целью обезопасить пользователей от подобных вредоносных программ специалисты Департамента разработки и исследований компании «Доктор Веб» разработали специальное поляризационное покрытие для стекол очков, искажающее отражение дисплея (что делает невозможным его распознавание шпионским ПО), но не оказывающее виляния на оптические свойства стекла. Покрытие полностью пропускает свет солнечного спектра, однако в силу своей структуры определенным образом изменяет угол отражения падающих на его поверхность лучей, что вносит в видимое на стекле отражение заметные оптические искажения. Сотрудники «Доктор Веб» провели ряд экспериментов с использованием концептуальной модели, созданной на основе обычных очков, на поверхность линз которых было нанесено защитное покрытие, — в результате опытов эффективность технологии была подтверждена на практике.

Данная разработка была запатентована компанией «Доктор Веб» и в настоящее время рассматривается вопрос о её лицензировании для производителей очков и различных оптических приборов. Предполагается, что эта технология будет востребована прежде всего среди организаций и компаний, выдвигающих особые требования к обеспечению информационной безопасности своей деятельности, однако очевидно, что она будет эффективна только в сочетании с более традиционными способами защиты информации, такими как своевременное резервное копирование и использование современного антивирусного ПО.