Video: Троян JS.ТыИдиот(YouAreAnIdiot) (Listopad 2024)
Hovoříme zde hodně o exotických malwarových útocích a nejasných bezpečnostních chybách zde na SecurityWatch, ale útok může využít něco tak základního, jak se okna objevují na obrazovce. Jeden vědec demonstroval techniku, pomocí které jsou oběti podváděny se spuštěním škodlivého softwaru pouhým stisknutím písmene „r“.
Koncem minulého měsíce výzkumník Rosario Valotta napsal na svůj web příspěvek, kde nastínil útok postavený na „zneužívání uživatelských rozhraní prohlížeče“. Tato technika využívá některé vtípky ve webových prohlížečích, s pouhým kouskem sociálního inženýrství.
Útok
Říká se tomu „keyjacking“, po technice clickjackingu, kde jsou oběti podváděny kliknutím na objekt, který generuje neočekávané reakce. V příkladu Valotty navštívíte škodlivý web a začne automatické stahování. V aplikaci Internet Explorer 9 nebo 10 pro Windows 7 se spustí až příliš známé dialogové okno s možnostmi spuštění, uložení nebo zrušení.
Zde přichází trik: útočník nastaví web tak, aby skrýval potvrzovací okno za webovou stránkou, ale udržuje potvrzovací okno v centru pozornosti. Web vyzve uživatele, aby stiskl písmeno „R“, možná pomocí captcha. Blikající kurzorový gif na webu vede uživatele k tomu, aby si myslel, že jeho stisknutí kláves se objeví v dialogovém okně falešné captchy, ale ve skutečnosti je odeslán do potvrzovacího okna, kde R je zkratka pro Run.
Útok může být také použit v systému Windows 8, s aspektem sociálního inženýrství upraveným tak, aby přiměl oběť k zasažení TAB + R. Valotta proto navrhuje použít testovací hru na psaní.
Pro nás všechny uživatele prohlížeče Chrome, Valotta přišel na další trik, který je v tradičních cvakacích. V tomto scénáři oběť klikne na něco pouze proto, aby zmizela v poslední vteřině a registr kliknutí v okně pod.
„Otevřete popunder okno na určitých konkrétních souřadnicích obrazovky a umístíte jej pod popředí, pak zahájí stahování spustitelného souboru, “ píše. Okno v popředí vyzve uživatele, aby klikl - snad zavře reklamu.
"Útočník pomocí některých JS je schopen sledovat souřadnice ukazatele myši, jakmile se myš pohybuje po tlačítku, může útočník zavřít okno v popředí, " pokračuje Valotta. "Je-li vhodné načasování, existuje velká šance, že oběť klikne na základní lištu oznámení o vyskakování, takže spustitelný soubor skutečně spustí."
Nejděsivější součástí tohoto útoku je sociální inženýrství. Valotta ve svém blogovém příspěvku poukazuje na to, že M.Zalewski a C.Jackson již zkoumali pravděpodobnost, že se osoba, která se stane klikáním, ocitne. Podle Valotty to bylo úspěšné přes 90 procent času.
Nepanikařujte příliš mnoho
Valotta připouští, že jeho plánu je pár škytavek. Za prvé, filtr Smartscreen společnosti Microsoft může tyto útoky odstranit, jakmile jsou nahlášeny. Pokud skrytý spustitelný soubor vyžaduje oprávnění administrátora, vygeneruje User Access Control další varování. Smartscreen samozřejmě není spolehlivý a Valotta řeší problém UAC tím, že se ptá: „Opravdu potřebujete administrativní oprávnění, abyste mohli obětem způsobit vážné škody?“
Jako vždy je nejjednodušším způsobem, jak se útoku vyhnout, nechodit na web. Vyhněte se nabídkám podivných stahování a přímých odkazů od lidí. Vezměte také na vědomí, která okna jsou na obrazovce zvýrazněna, a před zadáním textu klikněte na textová pole. Můžete také použít zabudovanou podporu blokování vyskakovacích oken / vyskakovacích oken prohlížečů.
Pokud nic jiného, tento výzkum je připomínkou, že ne všechny zranitelnosti jsou nedbalý kód nebo exotický malware. Některé lze skrýt na místech, která neočekáváme - jako například VoIP telefony - nebo využít skutečnosti, že počítače jsou navrženy tak, aby dávaly smysl lidem před nimi.
