Acasă Securitywatch Formați apelul pentru o tastare: rularea programelor malware cu captcha

Formați apelul pentru o tastare: rularea programelor malware cu captcha

Video: Week 7, continued (Noiembrie 2024)

Video: Week 7, continued (Noiembrie 2024)
Anonim

Vorbim mult despre atacurile malware exotice și vulnerabilitățile obscure ale securității aici pe SecurityWatch, dar un atac poate profita de ceva la fel de esențial ca și cum apar ferestrele pe ecran. Un cercetător a demonstrat o tehnică prin care victimele sunt păcălite să folosească malware doar prin apăsarea literei „r”.

La sfârșitul lunii trecute, cercetătorul Rosario Valotta a scris o postare pe site-ul său în care a subliniat un atac creat în jurul „abuzurilor de interfețe de utilizator ale browserului”. Tehnica folosește unele aspecte în browserele web, cu doar un pic de inginerie socială.

Atacul

Se numește „keyjacking”, după tehnica clickjacking în care victimele sunt păcălite să facă clic pe un obiect care generează răspunsuri neașteptate. În exemplul lui Valotta, vizitați un site rău intenționat și începe o descărcare automată. În Internet Explorer 9 sau 10 pentru Windows 7, aceasta declanșează o fereastră de dialog prea familiară cu opțiunile de alergare, salvare sau anulare.

Iată trucul: atacatorul stabilește site-ul pentru a ascunde fereastra de confirmare în spatele unei pagini web, dar menține fereastra de confirmare în centrul atenției. Site-ul web solicită utilizatorului să apese litera "R", probabil folosind un captcha. Un gif al cursorului intermitent pe site-ul web îl determină pe utilizator să creadă că apăsările sale de cheie vor apărea în caseta de dialog fals captcha, dar este de fapt trimis la fereastra de confirmare unde R este comanda rapidă pentru Run.

Atacul poate fi folosit și în Windows 8, aspectul de inginerie socială fiind modificat pentru a atrage victima să lovească TAB + R. Pentru aceasta, Valotta sugerează utilizarea unui joc de testare de tipar.

Pentru toți utilizatorii Chrome de acolo, Valotta și-a dat seama de un alt truc care este în vena tradițională de clickjacking. În acest scenariu, victima va face clic pe ceva doar pentru a o dispărea în ultima secundă și a face clic pe înregistrarea pe o fereastră de dedesubt.

„Deschideți o fereastră popunder la anumite coordonate ale ecranului și o puneți sub fereastra prim-planului, apoi începe descărcarea unui fișier executabil”, scrie el. O fereastră din prim-plan îi solicită utilizatorului să facă clic - poate să închidă un anunț.

"Atacatorul, folosind unele JS, este capabil să urmărească coordonatele pointerului mouse-ului, astfel încât, de îndată ce mouse-ul să treacă peste buton, atacatorul poate închide fereastra prim-planului", continuă Valotta. "Dacă sincronizarea este potrivită, există șanse mari ca victima să facă clic pe bara de notificare popunder care stă la baza, deci lansează de fapt fișierul executabil."

Cea mai înfricoșătoare parte a acestui atac este ingineria socială. În postarea sa pe blog, Valotta subliniază că M.Zalewski și C.Jackson au cercetat deja probabilitatea ca o persoană să cadă pentru a face clic. Potrivit lui Valotta, a avut succes peste 90 la sută din timp.

Nu te panica prea mult

Valotta recunoaște că există câteva sughițe pentru planul său. Pentru unul, filtrul Smartscreen Microsoft poate elimina aceste tipuri de atacuri odată ce acestea sunt raportate. Dacă executabilul ascuns necesită privilegii de administrare, atunci User Access Control va genera un alt avertisment. Desigur, Smartscreen nu este rezistent, iar Valotta abordează problema UAC întrebând: „Aveți nevoie de privilegii administrative pentru a provoca daune grave victimelor dvs.?”

Ca întotdeauna, cel mai simplu mod de a evita atacul este să nu accesați site-ul. Evitați ofertele pentru descărcări ciudate și link-uri din afara de la oameni. De asemenea, luați notă despre ferestrele care sunt evidențiate pe ecran și faceți clic pe câmpurile de text înainte de a scrie. Puteți utiliza, de asemenea, browserele integrate în suportul pentru blocarea pop-up / popunder.

Dacă nimic altceva, această cercetare este un memento care nu toate vulnerabilitățile sunt cod sloppy sau malware exotic. Unele pot fi ascunse în locurile pe care nu le așteptăm - cum ar fi telefoanele VoIP - sau pot profita de faptul că calculatoarele sunt concepute pentru a face sens oamenilor din fața lor.

Formați apelul pentru o tastare: rularea programelor malware cu captcha