Pastebin como repositorio de logs de keyloggers

pastebin.com es un juguete. Un caramelo. Un caramelo dulce para algunos, y para otros muy amargo, y la mayoría de estos últimos aún no lo saben. Alejandro hace unos meses ya nos comentó lo que da de si este servicio en un principio destinado a compartir trozos de código fuente, el cual te devuelve un enlace que se puede distribuir para que cualquiera pueda consultarlo. El consultar aleatoriamente el listado de "Recent Posts" que podemos ver en la parte izquierda de la página para ver que sube la gente nos puede regalar alguna que otra sorpresa curiosa.

El problema es que mucha gente lo utiliza para compartir información muy extensa (no necesariamente código fuente), como por ejemplo e-mails, ficheros de configuración de servicios propios...¿y la "última" moda? Dejar una muestra de información sensible obtenida con el fin de que por ejemplo un comprador "vea el material" y seguidamente pague por la versión completa. Parejas de e-mails y contraseñas, obtenidas de phishings (¿recordáis el caso de las contraseñas de hotmail?), volcados de registros de tablas de bases de datos de foros...

Pues lo último que se ha podido encontrar en pastebin han sido logs o registros de lo que parece ser un keylogger, aplicación que residente en el sistema intercepta todas las pulsaciones de teclado (también hay versión "hardware"). BitdefenderLabs ha detectado estas filtraciones y las reportó a The Tech Herald. En esta imagen podemos ver un preview de información propia del keylogger, que muestra usuarios y contraseñas de servicios de correo, redes sociales como orkut o facebook, incluso accesos a routers y otros paneles de control, así como conversaciones de mensajería instantánea, actualizaciones en páginas...¡incluso se ven pulsaciones de teclado en videojuegos! Esto descarta por tanto que sea un keylogger a nivel de navegador, como por ejemplo un ActiveX, un complemento de firefox...

Del preview que os comento podemos observar las codificaciones que el keylogger asigna a las teclas tabulador ("<tab>"), backspace ("<back>"), dígitos numéricos de teclado (numpadX donde X es el dígito). Estas palabras tan concretas nos sirven para poder realizar búsquedas más concretas dentro de pastebin (que en el momento de redacción de esta entrada, los logs no han sido borrados). Siempre que ocurren este tipo de filtraciones, pastebin.com desactiva la función de búsqueda hasta que consigue realizar una limpieza de información sensible...esta vez, están tardando.

Esta última es la que más da juego da, ya que como sabréis, el tabulador se utiliza mucho para pasar de usuario a la contraseña en los formularios de autenticación...

Buscando "<back>" o "<tab>" obtendremos una gran cantidad de resultados, en muchas ocasiones intentos de autenticación a servicios, conversaciones como comentábamos, con el formato de [titulo de la ventana] y a continuación la información interceptada.

Es curioso como a día de hoy, tras ver incluso tarjetas de crédito con sus CVV2 válidos, la gente siga confiando en este servicio tan "crawleable" para compartir información tan sensible. Y tenemos las dos versiones:

1. Los incautos buenos e inocentes que copian los ficheros de configuración que incluyen credenciales para que otros las revisen porque les da error al ejecutar X servicio.
2. Los incautos malos y malvados que dejan su material ilegal para que los vean sus compradores.

Tened cuidado con lo que pasteais ahí fuera.

[+] Massive keylogger cache posted to Pastebin.com

Leer más...

Nueva metodología de keylogging

Todos conocemos el riesgo que corremos ante las típicas amenazas de que roben nuestras contraseñas, mediante keyloggers, Cross-site Scripting (identidad), phising,...

Además hemos oido hablar de las formas de recrear por parte de atacantes, lo que vemos en nuestro monitor mediante las emanaciones electromagnéticas del mismo (esto suena a película pero es completamente viable). Para ello se desarrollaron precisamente los estándares TEMPEST.

Si ya no corriéramos peligro suficientemente al exponer nuestros datos en la red, comprar billetes de avión, entradas de cine, fútbol, teatro,..... paseamos la información de nuestras tarjetas de crédito/débito a través de las redes, confiando en que los administradores de seguridad de los sitios donde compramos mantendrán la confidencialidad de dicha información.

Amén de todos estos riesgos, aún hemos de sumar un nuevo factor a tener en cuenta. Se ha descubierto que los teclados de nuestros dispositivos (y no me refiero únicamente a los inalámbricos) emiten energía que es posible que sea captada y por lo tanto reproducible a modo de keylogging físico. Se han llegado a hacer pruebas con teclados PS2 y desde 20 metros de distancia incluso. Y yo me pregunto, los teclados de los cajeros automáticos, ¿serán susceptibles de este tipo de vulnerabilidad también?

Para mitigar esta amenaza a nuestra privacidad, Yago explicó en su momento cómo utilizar un teclado virtual, de manera que sólo podrían captarse los clicks de ratón y sus movimientos, dando lugar a que estos investigadores tengan que comerse la cabeza un poco más.

De momento es poco viable entrar en una oficina de un importante banco (por ejemplo) con un portátil con una antena de un metro de largo, así como pedirle al futuro atacado que apriete las teclas de una en una y no a toda velocidad (seguro que en más de algún ministerio esto podría hacerse :-D )

Os dejo el enlace que permite ver el documento original de unos atrevidos investigadores que han logrado demostrar esta teoría con un enfoque práctico

Leer más...