Кейлоггер.

Кейлоггер захватывает ввод с клавиатуры и либо сохраняет его локально, либо передаёт злоумышленнику. Программные кейлоггеры работают как хуки пользовательского режима (SetWindowsHookEx), драйверы ядра или вредоносные расширения браузера; аппаратные кейлоггеры размещаются между клавиатурой и компьютером или скрываются внутри изменённой периферии. Злоумышленники используют их для сбора учётных данных, вручную вводимых одноразовых паролей (OTP), банковских данных, сообщений в чатах и интеллектуальной собственности, и они поставляются как стандартные модули инфостилеров, банковских троянов и шпионских наборов, таких как Agent Tesla, HawkEye и Snake Keylogger.

Кейлоггинг старше, чем сам ПК. В одной из самых изящных операций холодной войны Советы прослушивали пишущие машинки IBM Selectric в посольстве США в Москве примерно с 1976 по 1984 год: магнетометры, спрятанные в полой опорной планке, улавливали поворот и наклон печатающего «шарика», после чего пакетами передавали зашифрованные нажатия клавиш по радио. Проект GUNMAN Агентства национальной безопасности (NSA) в конце концов обнаружил эти закладки после того, как техник заметил лишнюю катушку в переключателе питания, — доказательство того, что для перехвата набираемого текста вообще не нужно никакого ПО.

Меры защиты включают EDR с поведенческим мониторингом, устойчивую к фишингу MFA на основе аппаратных ключей (FIDO2/WebAuthn), при которой украденный пароль бесполезен, защиту ввода учётных данных на уровне ОС, физический осмотр кабелей рабочих мест и отключение неиспользуемых USB-портов.

flowchart LR
  K[Пользователь нажимает клавиши] --> C[Кейлоггер перехватывает ввод]
  C --> S[Программный хук или драйвер]
  C --> H[Аппаратное встроенное устройство]
  S --> E[Кодирование и буферизация]
  H --> E
  E --> X[Передача на C2 злоумышленника]
  X --> U[Кража учётных данных или данных]