Video: (Taller Online) Intrusión de sistemas con Powershell y BadUSB (Noviembre 2024)
Hablamos mucho sobre ataques de malware exóticos y vulnerabilidades de seguridad oscuras aquí en SecurityWatch, pero un ataque puede aprovechar algo tan básico como cómo aparecen las ventanas en su pantalla. Un investigador ha demostrado una técnica mediante la cual las víctimas son engañadas para ejecutar malware con solo presionar la letra "r".
A fines del mes pasado, la investigadora Rosario Valotta escribió una publicación en su sitio web donde describió un ataque basado en "abusar de las interfaces de usuario del navegador". La técnica hace uso de algunas peculiaridades en los navegadores web, con solo una pizca de ingeniería social.
El ataque
Se llama "keyjacking", después de la técnica de clickjacking donde las víctimas son engañadas para que hagan clic en un objeto que genera respuestas inesperadas. En el ejemplo de Valotta, visita un sitio malicioso y comienza una descarga automática. En Internet Explorer 9 o 10 para Windows 7, esto activa una ventana de diálogo demasiado familiar con las opciones para Ejecutar, Guardar o Cancelar.
Aquí viene el truco: el atacante configura el sitio web para ocultar la ventana de confirmación detrás de una página web, pero mantiene la ventana de confirmación enfocada. El sitio web solicita al usuario que presione la letra "R", tal vez usando un captcha. Un gif de cursor parpadeante en el sitio web lleva al usuario a pensar que sus pulsaciones de teclas aparecerán en el cuadro de diálogo del captcha falso, pero en realidad se está enviando a la ventana de confirmación donde R es el acceso directo para Ejecutar.
El ataque también se puede usar en Windows 8, con el aspecto de ingeniería social modificado para atraer a la víctima a golpear TAB + R. Para esto, Valotta sugiere usar un juego de prueba de mecanografía.
Para todos los usuarios de Chrome, Valotta ha descubierto otro truco que está en la veta tradicional de clickjacking. En este escenario, la víctima hace clic en algo solo para que desaparezca en el último segundo y el clic se registra en una ventana debajo.
"Abre una ventana de popunder en algunas coordenadas de pantalla específicas y la coloca debajo de la ventana de primer plano, luego comienza la descarga de un archivo ejecutable", escribe. Una ventana en primer plano solicita al usuario que haga clic, tal vez para cerrar un anuncio.
"El atacante, utilizando algunos JS, es capaz de rastrear las coordenadas del puntero del mouse, por lo que, tan pronto como el mouse se mueve sobre el botón, el atacante puede cerrar la ventana de primer plano", continúa Valotta. "Si el tiempo es apropiado, hay buenas posibilidades de que la víctima haga clic en la barra de notificación subyacente de popunder, por lo que en realidad iniciará automáticamente el archivo ejecutable".
La parte más aterradora de este ataque es la ingeniería social. En su publicación de blog, Valotta señala que M.Zalewski y C.Jackson ya han investigado la probabilidad de que una persona caiga en un clickjacking. Según Valotta, tuvo éxito más del 90 por ciento de las veces.
No se asuste demasiado
Valotta reconoce que hay algunos inconvenientes en su plan. Por un lado, el filtro Smartscreen de Microsoft puede eliminar este tipo de ataques una vez que se informan. Si el ejecutable oculto requiere privilegios de administrador, el Control de acceso de usuario generará otra advertencia. Por supuesto, Smartscreen no es infalible y Valotta aborda el problema de UAC preguntando: "¿realmente necesita privilegios administrativos para causar daños graves a sus víctimas?"
Como siempre, la forma más fácil de evitar el ataque es no ir al sitio web. Evite ofertas de descargas extrañas y enlaces inesperados de personas. Además, tome nota de qué ventanas están resaltadas en su pantalla y haga clic en los campos de texto antes de escribir. También puede utilizar el soporte integrado de bloqueo de ventanas emergentes / popunder de los navegadores.
Por lo menos, esta investigación es un recordatorio de que no todas las vulnerabilidades son código descuidado o malware exótico. Algunos pueden estar ocultos en los lugares que no esperamos, como los teléfonos VoIP, o aprovechar el hecho de que las computadoras están diseñadas para tener sentido para los humanos frente a ellos.
