Vídeo: Como remover Malware do seu computador de forma fácil, rápida e gratuita!!! (Outubro 2024)
Falamos muito sobre ataques de malware exóticos e vulnerabilidades de segurança obscuras aqui no SecurityWatch, mas um ataque pode tirar proveito de algo tão básico quanto o modo como as janelas aparecem na tela. Um pesquisador demonstrou uma técnica pela qual as vítimas são induzidas a executar malware apenas pressionando a letra "r".
No final do mês passado, o pesquisador Rosario Valotta escreveu um post em seu site, onde descreveu um ataque construído em torno de "abusar das interfaces de usuário do navegador". A técnica utiliza algumas peculiaridades nos navegadores da web, com apenas uma pitada de engenharia social.
O ataque
Isso se chama "keyjacking", após a técnica de clickjacking, na qual as vítimas são induzidas a clicar em um objeto que gera respostas inesperadas. No exemplo da Valotta, você visita um site malicioso e um download automático é iniciado. No Internet Explorer 9 ou 10 para Windows 7, isso aciona uma janela de diálogo muito familiar com as opções para Executar, Salvar ou Cancelar.
Aí vem o truque: o invasor define o site para ocultar a janela de confirmação atrás de uma página da Web, mas mantém a janela de confirmação em foco. O site solicita que o usuário pressione a letra "R", talvez usando um captcha. Um gif de cursor piscante no site leva o usuário a pensar que as teclas digitadas aparecerão na caixa de diálogo do captcha falso, mas na verdade ele está sendo enviado para a janela de confirmação onde R é o atalho para Executar.
O ataque também pode ser usado no Windows 8, com o aspecto de engenharia social modificado para atrair a vítima a bater no TAB + R. Para isso, Valotta sugere o uso de um jogo de teste de digitação.
Para todos nós, usuários do Chrome, o Valotta descobriu outro truque que está na linha tradicional de clickjacking. Nesse cenário, a vítima clica em algo apenas para que desapareça no último segundo e o registro é registrado em uma janela abaixo.
"Você abre uma janela popunder em algumas coordenadas específicas da tela e a coloca sob a janela do primeiro plano, depois inicia o download de um arquivo executável", ele escreve. Uma janela em primeiro plano solicita que o usuário clique, talvez para fechar um anúncio.
"O invasor, usando algum JS, é capaz de rastrear as coordenadas do ponteiro do mouse, assim que, logo que o mouse passa o botão, o atacante pode fechar a janela do primeiro plano", continua Valotta. "Se o tempo for apropriado, há boas chances de a vítima clicar na barra de notificação popunder subjacente, de modo que realmente inicie o arquivo executável".
A parte mais assustadora deste ataque é a engenharia social. Em seu post no blog, Valotta ressalta que M.Zalewski e C.Jackson já pesquisaram a probabilidade de uma pessoa cair por um clickjacking. Segundo Valotta, foi bem sucedido em 90% das vezes.
Não entre em pânico demais
Valotta admite que há alguns soluços em seu plano. Por um lado, o filtro Smartscreen da Microsoft pode eliminar esse tipo de ataque depois que eles são relatados. Se o executável oculto exigir privilégios de administrador, o Controle de Acesso do Usuário gerará outro aviso. Obviamente, o Smartscreen não é infalível e Valotta aborda a questão do UAC perguntando: "você realmente precisa de privilégios administrativos para causar danos sérios às suas vítimas?"
Como sempre, a maneira mais fácil de evitar o ataque é não ir ao site. Evite ofertas de downloads estranhos e links inesperados de pessoas. Além disso, anote as janelas destacadas na tela e clique nos campos de texto antes de digitar. Você também pode usar o suporte incorporado ao navegador para bloquear pop-ups / popunder.
No mínimo, esta pesquisa é um lembrete de que nem todas as vulnerabilidades são códigos desleixados ou malware exótico. Alguns podem estar escondidos nos lugares que não esperamos - como telefones VoIP - ou tirar proveito do fato de que os computadores são projetados para fazer sentido para os humanos à sua frente.
