Keylogger.

Um keylogger captura a entrada do teclado e armazena-a localmente ou exfiltra-a para um atacante. Os keyloggers de software correm como hooks em modo utilizador (SetWindowsHookEx), controladores de kernel ou extensões de navegador maliciosas; os de hardware ficam em linha entre o teclado e o computador ou escondem-se dentro de periféricos adulterados. Os atacantes usam-nos para recolher credenciais, OTPs digitados manualmente, dados bancários, mensagens de chat e propriedade intelectual, e são distribuídos como módulos padrão de info-stealers, trojans bancários e kits de espionagem como o Agent Tesla, o HawkEye e o Snake Keylogger.

O keylogging é mais antigo do que o PC. Numa das operações mais elegantes da Guerra Fria, os soviéticos espiaram máquinas de escrever IBM Selectric na Embaixada dos EUA em Moscovo, sensivelmente entre 1976 e 1984: magnetómetros escondidos numa barra de suporte oca detetavam a rotação e a inclinação da "bola de golfe" de impressão e depois transmitiam em rajadas as teclas cifradas por rádio. O Projeto GUNMAN da NSA acabou por descobrir os implantes depois de um técnico ter reparado numa bobina extra num interruptor de alimentação — prova de que capturar o que as pessoas escrevem não precisa de software algum.

As defesas incluem EDR com monitorização comportamental, MFA resistente a phishing baseado em chaves de hardware (FIDO2/WebAuthn) para que uma palavra-passe roubada seja inútil, proteções do sistema operativo para a introdução de credenciais, inspeção física dos cabos dos postos de trabalho e desativação de portas USB não utilizadas.

flowchart LR
  K[Utilizador prime as teclas] --> C[Keylogger captura a entrada]
  C --> S[Hook de software ou controlador]
  C --> H[Dispositivo de hardware em linha]
  S --> E[Codifica e armazena em buffer]
  H --> E
  E --> X[Exfiltra para o C2 do atacante]
  X --> U[Roubo de credenciais ou dados]