Video: Defeating TOR Malware & Captcha In 30 Minutes (November 2024)
We praten veel over exotische malware-aanvallen en obscure beveiligingskwetsbaarheden hier op SecurityWatch, maar een aanval kan profiteren van zoiets fundamenteels als hoe vensters op uw scherm verschijnen. Eén onderzoeker heeft een techniek aangetoond waarbij slachtoffers misleid worden tot het uitvoeren van malware door simpelweg op de letter "r" te drukken.
Eind vorige maand schreef onderzoeker Rosario Valotta een bericht op zijn website waarin hij een aanval schetste die was gebaseerd op "misbruik van browsergebruikersinterfaces". De techniek maakt gebruik van enkele eigenaardigheden in webbrowsers, met slechts een scheutje social engineering erin gegooid.
De aanval
Het wordt "keyjacking" genoemd, naar de clickjacking-techniek waarbij slachtoffers worden misleid om op een object te klikken dat onverwachte reacties genereert. In het voorbeeld van Valotta bezoekt u een schadelijke site en begint een automatische download. In Internet Explorer 9 of 10 voor Windows 7 activeert dit een al te vertrouwd dialoogvenster met de opties Uitvoeren, Opslaan of Annuleren.
Hier komt de truc: de aanvaller stelt de website in om het bevestigingsvenster achter een webpagina te verbergen, maar houdt het bevestigingsvenster scherp. De website vraagt de gebruiker om op de letter "R" te drukken, misschien met behulp van een captcha. Een knipperende cursor-gif op de website doet de gebruiker denken dat zijn of haar toetsaanslagen zullen verschijnen in het dialoogvenster van de nep-captcha, maar het wordt eigenlijk naar het bevestigingsvenster gestuurd waar R de snelkoppeling voor Uitvoeren is.
De aanval kan ook worden gebruikt in Windows 8, waarbij het aspect sociale engineering is aangepast om het slachtoffer te verleiden TAB + R te raken. Valotta stelt hiervoor voor een typetestspel te gebruiken.
Voor ons allemaal Chrome-gebruikers die er zijn, heeft Valotta een andere truc bedacht die in de traditionele clickjacking-stijl ligt. In dit scenario gaat het slachtoffer op iets klikken om het op de laatste seconde te laten verdwijnen en het klikregister in een venster eronder.
"Je opent een popunder-venster op enkele specifieke schermcoördinaten en plaatst het onder het voorgrondvenster, en start vervolgens het downloaden van een uitvoerbaar bestand", schrijft hij. Een venster op de voorgrond vraagt de gebruiker om te klikken - misschien om een advertentie te sluiten.
"De aanvaller kan met enkele JS de coördinaten van de muisaanwijzer volgen, zodat de aanvaller, zodra de muis op de knop zweeft, het voorgrondvenster kan sluiten, " gaat Valotta verder. "Als timing geschikt is, zijn er goede kansen dat het slachtoffer op de onderliggende popunder-meldingsbalk klikt, dus het uitvoerbare bestand zelf start."
Het engste deel van deze aanval is de social engineering. In zijn blogpost wijst Valotta erop dat M.Zalewski en C.Jackson al de kans hebben onderzocht dat iemand valt voor clickjacking. Volgens Valotta was het meer dan 90 procent van de tijd succesvol.
Raak niet teveel in paniek
Valotta geeft toe dat zijn plan een paar minpuntjes bevat. Ten eerste kan het Smartscreen-filter van Microsoft dit soort aanvallen verwijderen zodra ze zijn gemeld. Als voor het verborgen uitvoerbare bestand beheerdersrechten vereist zijn, genereert gebruikerstoegangscontrole een nieuwe waarschuwing. Smartscreen is natuurlijk niet waterdicht en Valotta lost het UAC-probleem op door te vragen: "heeft u echt administratieve rechten nodig om uw slachtoffers ernstige schade toe te brengen?"
Zoals altijd is de eenvoudigste manier om de aanval te voorkomen door niet naar de website te gaan. Vermijd aanbiedingen voor vreemde downloads en out-of-the-blue links van mensen. Let ook op welke vensters op uw scherm zijn gemarkeerd en klik op tekstvelden voordat u typt. U kunt ook de ingebouwde ondersteuning voor het blokkeren van pop-ups / pop-ups gebruiken.
Als niets anders, is dit onderzoek een herinnering dat niet alle kwetsbaarheden slordige code of exotische malware zijn. Sommige kunnen verborgen zijn op de plaatsen die we niet verwachten - zoals VoIP-telefoons - of profiteren van het feit dat computers zijn ontworpen om logisch te zijn voor de mensen voor hen.
