ТЕХНІЧНИЙ ОПИС

Зловмисники можуть симулювати натискання клавіш на комп’ютері жертви різними способами для виконання будь-якого типу дій від імені користувача, таких як запуск інтерпретатора команд за допомогою клавіш швидкого доступу, введення вбудованого сценарію для виконання або безпосередня взаємодія з додатком на основі графічного інтерфейсу (GUI). Ці дії можуть бути попередньо запрограмовані в інструментах зловмисника або виконані за допомогою фізичних пристроїв, таких як пристрої інтерфейсу користувача (Human Interface Devices — HID).

Наприклад, зловмисники використовували інструменти, які контролюють цикл повідомлень Windows для виявлення моменту, коли користувач відвідує URL-адреси конкретних банків. У разі виявлення інструмент симулює натискання клавіш, щоб відкрити консоль розробника або вибрати адресний рядок, вставляє шкідливий JavaScript з буфера обміну та виконує його. Це дозволяє маніпулювати вмістом у браузері, наприклад, замінювати номери банківських рахунків під час транзакцій.

Зловмисники також використовували шкідливі USB-пристрої для емуляції натискань клавіш, які запускають PowerShell, що призводить до завантаження та виконання шкідливого програмного забезпечення з підконтрольних зловмисникам серверів.

Ключові сценарії використання:

  • Гарячі клавіші: Натискання Win + R, введення powershell.exe та Enter за лічені мілісекунди.
  • Маніпуляція браузером: Автоматичне відкриття F12 (Developer Tools) для впорскування коду в контекст веб-сторінки.
  • Обхід UAC: У деяких випадках зловмисники використовують ін’єкцію вводу для натискання кнопки «Так» у діалогових вікнах контролю облікових записів, якщо вони мають достатні права для симуляції миші/клавіатури.