Uno dei componenti generalmente presente in un virus è il KeyLogger, uno strumento altamente specializzato progettato per registrare ogni battitura effettuata sulla macchina infetta, dando all’attaccante la possibilità di rubare enormi quantità di informazioni sensibili rendendosi invisibile. L’intercettazione delle informazioni viene effettuata dal keylogger inserendosi tra la tastiera e il sistema operativo, archiviando i dati registrati localmente sulla macchina compromessa o, nel caso di un toolkit complesso, inviato ad un PC in remoto controllato dall’utente malintenzionato.
Esistono numerose varianti di keylogger, ma la distinzione principale è da effettuarsi in keylogger software e keylogger hardware.
- Keylogger Software-based
E’ la tipologia più diffusa, spesso implementato come parte di un trojan o un rootkit. Non necessita di accesso fisico alla macchina e per questo è di facile installazione. Si comporta generalmente come un API del sistema operativo, registrando ogni battitura, ma sono anche presenti varianti a livello di kernel, basate sul funzionamento del browser e altre più complesse. L’infezione può avvenire effettuando un download da un sito Web dannoso che sfrutta una vulnerabilità esistente sul PC e installa il malware, oppure tramite il download di un software lecito attraverso un canale compromesso, in modo che il malware venga inserito nell‘applicazione stessa.
Keylogger Hardware-based
E’ la tipologia meno comune, in quanto è più difficile da inserire sulla macchina di destinazione e richiede l’accesso fisico al computer, sia durante il processo di fabbricazione che durante la distribuzione. Alcune varianti hardware possono essere installati all’interno dei circuiti integrati del PC, compresi keylogger a livello del BIOS. Altre modalità di infezione vedono l’utilizzo di unità flash USB o di finti connettore per la tastiera da inserire tra il cavo della tastiera e il PC. Anche se la loro installazione risulta più difficile, i Keylogger hardware presentano una maggiore flessibilità per l’attaccante, dato che sono indipendenti dal sistema operativo. Sta di fatto che la loro implementazione può avvenire esclusivamente se un malintenzionato ha accesso alla nostra macchina.
La rilevazione di un keylogger può essere difficile, in quanto questo genere di applicazione è progettato per rimanere tranquillo e inosservato, non tenta di distruggere i dati della macchina né si connette a server di comando e controllo come altre tipologie di malware. I prodotti anti-malware e anti-virus possono rilevare e rimuovere le varianti conosciute di keylogger, ma nel caso di software personalizzati o script costruiti per un attacco specifico saranno riconosciuti come dannosi solo a seconda delle azioni eseguite sulla macchina compromessa.
Se avete il sospetto della presenza di un keylogger sul vostro computer, potrete aggirare il problema avviando il PC da un CD eseguibile o da una chiavetta USB, o eliminando l’utilizzo della tastiera fisica e utilizzandone una virtuale, in modo da evitare input.