Внедрение ввода

Злоумышленники могут имитировать нажатия клавиш на компьютере жертвы различными способами для выполнения любого типа действий от имени пользователя, таких как запуск интерпретатора команд с помощью сочетаний клавиш, ввод встроенного скрипта для выполнения или прямое взаимодействие с приложением на основе графического интерфейса. Эти действия могут быть запрограммированы в инструменты злоумышленника или выполнены через физические устройства, такие как устройства интерфейса пользователя (HID). Например, злоумышленники использовали инструменты, которые отслеживают цикл сообщений Windows для обнаружения посещения пользователем URL-адресов, связанных с банками. При обнаружении инструмент затем имитирует нажатия клавиш для открытия консоли разработчика или выбора адресной строки, вставляет вредоносный JavaScript из буфера обмена и выполняет его — обеспечивая манипулирование контентом в браузере, например, замену номеров банковских счетов во время транзакций. Злоумышленники также использовали вредоносные USB-устройства для эмуляции нажатий клавиш, которые запускают PowerShell, что приводит к загрузке и выполнению вредоносного ПО с серверов, контролируемых злоумышленниками.