Um novo modelo de malwares Sykipot está sendo usado por cibercriminosos para expor os cartões inteligentes (smart cards) do Departamento de Defesa dos EUA (DoD), informa a empresa de segurança AlienVault. Segundo a companhia, o malware foi desenvolvido para tirar vantagem de leitores de smart card rodando o ActivClient – a aplicação de cliente da ActivIdendity.

Os cartões da ActivIdentity são padronizados no Departamento de Segurança e em várias outras agências do governo dos EUA. Eles são usados para identificar militares ativos, funcionários selecionados restritos, trabalhadores civis, e equipe contratante elegível.

Como aconteceu com versões anteriores do Sykipot, os cibercriminosos usam uma campanha de e-mail para fazer com que alvos específicos cliquem em um link e instalem o malware em suas máquinas. Após identificar os computadores que possuem leitores de cartões, os invasores instalam softwares de keystroke logging (que captura o que se digita no PC) para roubar o número PIN usado em conjunto com o smart card.

“Quando um cartão é inserido no leitor, o malware atua como o usuário autenticado e pode acessar informações sensíveis”, explica o gerente de lab da AlienVault, Jaime Blasco. “O software é controlado pelos invasores e então é dito o que – e quando – roubar os dados apropriados.”

Até o momento, a AlienVault viu ataques que comprometeram leitores de smart cards rodando o softwares Windows Native x509, de uso comum entre várias agências do governo dos EUA e aliados.

Essa nova onda de malwares parece ter sido originada a partir dos mesmos autores chineses que criaram uma versão do Sykipot em 2011, que distribuiu várias mensagens spam que diziam conter informações sobre a próxima geração de aviões sem pilotos, desenvolvida pela Força Aérea dos Estados Unidos.

Uma investigação sobre essa versão anterior no ano passado, Blasco sugeriu que o grupo por trás do Sykibot estava trabalhando com uma “lista de compras” que incluía semicondutores, e tecnologia médica e aeroespacial.

Em um relatório lançado no ano passado, a consultoria de segurança Mandiant identificou vários casos em que criminosos conseguiam acessar computadores ou redes que exigiam tanto smart cards quanto senhas. A Mandiant chamou essa técnica de “smart card proxy”.