Las infecciones informáticas provocadas por el malware almacenado en las memorias USB no son ni mucho menos una novedad. Sí lo es sin embargo que se pueda modificar el firmware de estas memorias (y, por extensión, de cualquier periférico USB) para que puedan hacerse pasar por un dispositivo diferente una vez conectadas al ordenador, lo que constituye un nuevo y hasta ahora totalmente inadvertido modo de infección. Esto es lo que descubrieron los expertos en seguridad del SRLabs (Security Research Labs) de Berlín.
La demostración de este nuevo patrón de ataque tuvo lugar en la conferencia Black Hat de Las Vegas a principios de agosto: el firmware de los dispositivos USB puede ser modificado para que puedan hacerse pasar por cualquier tipo de dispositivo una vez conectados al PC. Así, una aparentemente inofensiva memoria USB podría logarse en el sistema como un teclado y utilizarse para escribir líneas de código en la interfaz PowerShell. El atacante sería entonces capaz de tomar el control de la máquina infectada. El ataque es posible porque los dispositivos USB (impresoras, cámaras, memorias y, en general, cualquier otro de estos periféricos) son considerados como seguros y, por tanto, con amplios accesos al sistema. Los expertos en seguridad de G DATA han desarrollado una herramienta que protege de los dispositivos USB manipulados.
Aunque de momento no existe constancia de un ataque real, las consecuencias potenciales de este nuevo tipo ataque serían muy graves. «Si se reescribe el firmware, cada dispositivo USB puede convertirse en una amenaza potencial», explica Ralf Benzmüller, responsable de G DATA Security Labs, ante la gravedad de la situación. La forma más dañina y eficaz de llevar a cabo estos ataques sería mediante dispositivos capaces de hacerse pasar por teclados USB. Esto permite al atacante escribir código en interfaces como PowerShell y, en consecuencia, conseguir el control del ordenador infectado. Llegados a este punto, es imposible distinguir estas acciones de las de un teclado real y, por tanto, la detección por parte de las soluciones de seguridad se vuelve muy complicada.
El fabricante de soluciones alemán G DATA ha decidido responder rápidamente a esta amenaza desarrollando una aplicación que ofrece protección contra la más probable y dañina forma de ataque de estos USB infectados, aquellos que se hacen pasar por un teclado. Si el sistema detecta un nuevo teclado USB, la aplicación de G DATA impedirá preventivamente su acceso al sistema y mostrará una ventana emergente. El usuario puede entonces comprobar que efectivamente ha conectado un teclado y permitir o impedir permanentemente el acceso. Si el dispositivo en cuestión ha sido manipulado (una memoria o una webcam infectadas) se podrá bloquear permanente.
La aplicación es gratuita, compatible con otras soluciones antivirus y puede descargarse en www.gdatasoftware.com/usb-keyboard-guard
