Keylogger descoperit in laptopurile HP

de Pami · Publicat 13 mai 2017 · Actualizat 6 aprilie 2019

hp-keylogger

Conform celor de la The Hacker News, cercetatorii in securitate de la firma ModZero din Elvetia, in timp ce analizau infrastructurile din Windows Active Domain, au descoperit un keylogger incorporat intr-un driver audio HP care spioneaza toate intrarile de la tastatura.

O lista cu modelele de HP afectate se poate vedea aici – HP

Modelele de laptopuri HP afectate, vin cu chip-uri audio dezvoltate de firma Conexant, producator de circuite integrate, care de asemenea dezvolta si drivere pentru chip-urile sale audio. Astfel, specialistii in securitate, au descoperit incorporat in driverele audio Conexant un cod malitios care fura datele utilizatorilor.

Un keylogeer este in general un program care monitorizeaza fiecare apasare de tasta pe care utilizatorul o face si care trimite aceste date catre terte entitati interesate, acestea avand astfel abilitatea de a fura date personale, informatii despre conturi, numere de carti de credit, parole si multe alte informatii confidentiale si sensibile.

Potrivit specialistilor, un cod eronat scris de HP sub denumirea de CVE-2017-8360 si care nu a fost implementat corect, permite inregistrarea fiecarei taste apasata de utilizator, care mai apoi este stocata intr-un fisier si transformata in text usor lizibil de catre orice persoana interesata.
Fisierul respectiv se gaseste in C:\Users\Public\MicTray.log si contine o multime de informatii delicate, cum ar fi datele de conectare ale utilizatorilor, parole si altele, acestea fiind accesibile oricarui utilizator sau aplicatiilor terta parte instalate pe calculator.

Astfel, un program malware instalat sau chiar o persoana care are acces fizic la calculator, poate copia fisierul log respectiv, avand acces la toate datele sensibile pe care acesta le cuprinde.

Dupa aceasta descoperire, vine si o fireasca intrebare…ce cauta un keylogger intr-un driver audio preinstalat? Este HP o victima a unor furnizori terti de software, sau livreaza acest spyware cu intentie? Specialistii de la ModZero au mari rezerve in privinta HP!

Aceasta caracteristica de tip keylogger a fost introdusa de HP inca din anul 2015, odata cu un update (1.0.0.46) la driverele audio Conexant, iar de atunci si pana in prezent, s-au vandut aproape 30 de modele de laptopuri HP cu Windows preinstalat (evident cu drivere)!
De asemenea, cercetatorii atrag atentia ca este posibil ca si alti furnizori de hardware care folosesc chip-uri Conexant sa fie afectati de aceeasi problema!

Ca sa puteti vedea daca sunteti afectati de acest keylogger, cautati in Windows urmatoarele:

– C:\Windows\System32\MicTray64.exe
– C:\Windows\System32\MicTray.exe

Daca unul din fisierele de mai sus este prezent, atunci inseamna ca sunteti afectat de keylogger. Specialistii recomanda stergerea sau redenumirea acestora pentru a impiedica keylogger-ul sa colecteze informatii.

„Desi fisierul este suprascris dupa fiecare autentificare, continutul este probabil usor de monitorizat prin rularea proceselor sau a instrumentelor din spatele acestui keylogger”, au avertizat cercetatorii.
„Daca efectuati in mod regulat copii de siguranta ale hard-disk-ului fie in cloud, fie pe un hard-disk extern – istoricul tuturor apasarilor de taste din ultimii ani ar putea fi probabil gasit in backup-ul dvs.”, mai spun acestia.