Investigadores de malware.lu, un equipo de respuesta a incidentes y análisis de malware con sede en Luxemburgo, han creado una Prueba de Concepto (PoC) para un malware que permite a los atacantes obtener accesos para controlar remotamente las tarjetas inteligentes USB de los usuarios.

Las tarjetas inteligentes (tarjetas con chip) son utilizadas para varios propósitos, algunos de ellos son la identificación y autenticación.

Ciudadanos españoles y belgas actualmente cuentan con una tarjeta eID (electronic ID) que se usa para identificación, autenticación y firma digital. Los bancos proporcionan tarjetas inteligentes a los clientes que utilizan autenticación de 2 factores cuando acceden a su servicio de banca en línea; muchas compañías las entregan a sus empleados para identificarse a sí mismos al entrar a la red corporativa desde una ubicación remota.

El malware trabaja instalando un controlador especial en la computadora de la víctima que permite leer la USB mediante TCP/IP y otro controlador en la computadora del atacante que permite traducir la señal y hacer parecer que el dispositivo está fisicamente conectado a su computadora, según reportes de ComputerWorld.

Los investigadores han probado el malware con tarjetas inteligentes distribuidas por ciertos bancos belgas y con el eID distribuido por el gobierno belga, con el cual funciona de maravilla, así que los investigadores esperan que funcione así de bien con otras tarjetas inteligentes en otros lectores.

El malware también tiene un componente de keylogger, haciendo posible que los atacantes obtengan los PIN o contraseñas que son empleados con las tarjetas, pero solo si el lector no tiene su propio teclado.

Otra limitante del malware consiste en que el dispisitivo no está firmado digitalmente y existen algunos sistemas operativos no aceptarán software no firmado. Esto no podría ser un problema para los atacantes que saben como robar certificados digitales y los usan para firmar su software.