Наберите r для кражи ключа: запуск вредоносного ПО с помощью капчи

Мы много говорим об атаках экзотических вредоносных программ и неясных уязвимостях безопасности здесь, в SecurityWatch, но атака может использовать в своих интересах нечто базовое, например, как окна появляются на вашем экране. Один из исследователей продемонстрировал метод, с помощью которого жертвы обманывают вредоносное ПО, просто нажимая букву «r».

В конце прошлого месяца исследователь Росарио Валотта написал на своем веб-сайте сообщение, в котором описал атаку, основанную на «злоупотреблении пользовательским интерфейсом браузера». Техника использует некоторые причуды в веб-браузерах, с добавлением всего лишь социальной инженерии.

Атака

Это называется «кража ключей», после техники клик-джеккинга, когда жертвы обманывают, нажимая на объект, который генерирует неожиданные ответы. В примере Валотты вы посещаете вредоносный сайт и начинается автоматическая загрузка. В Internet Explorer 9 или 10 для Windows 7 это вызывает слишком знакомое диалоговое окно с параметрами «Выполнить», «Сохранить» или «Отмена».

Здесь есть хитрость: злоумышленник заставляет веб-сайт скрывать окно подтверждения за веб-страницей, но держит окно подтверждения в фокусе. Веб-сайт предлагает пользователю нажать букву «R», возможно, используя капчу. Мигающий курсор gif на веб-сайте заставляет пользователя думать, что его или ее нажатия клавиш появятся в диалоговом окне поддельной капчи, но на самом деле оно отправляется в окно подтверждения, где R - это ярлык для запуска.

Атака также может быть использована в Windows 8, с измененным аспектом социальной инженерии, чтобы побудить жертву нажать TAB + R. Для этого Валотта предлагает использовать тестовую игру.

Для всех нас, пользователей Chrome, Valotta придумала еще одну хитрость в традиционном ключе. В этом сценарии жертва щелкает что-то, только чтобы оно исчезло в последнюю секунду, и щелчок регистрируется в окне под ним.

«Вы открываете всплывающее окно с определенными координатами экрана и помещаете его под переднее окно, а затем начинаете загрузку исполняемого файла», - пишет он. Окно на переднем плане предлагает пользователю нажать - возможно, чтобы закрыть объявление.

«Злоумышленник, используя некоторые JS, может отслеживать координаты указателя мыши, поэтому, как только мышь наведет курсор на кнопку, злоумышленник может закрыть окно переднего плана», - продолжает Валотта. «Если время выбрано правильно, есть хорошие шансы, что жертва нажмет на базовую панель уведомлений, а затем запустит исполняемый файл самостоятельно».

Самая страшная часть этой атаки - социальная инженерия. В своем блоге Валотта отмечает, что М.Залевский и К.Джексон уже исследовали вероятность попадания человека в клик-джеккинг. По словам Валотты, это было успешным более 90 процентов времени.

Не паникуйте слишком много

Валотта признает, что в его плане есть несколько ошибок. Например, фильтр Smartscreen от Microsoft может отсеять подобные атаки, когда о них сообщают. Если для скрытого исполняемого файла требуются права администратора, User Access Control сгенерирует другое предупреждение. Конечно, Smartscreen не является надежным, и Valotta решает проблему с UAC, спрашивая: «Вам действительно нужны административные привилегии, чтобы нанести серьезный ущерб вашим жертвам?»

Как всегда, самый простой способ избежать атаки - не заходить на сайт. Избегайте предложений для странных загрузок и необычных ссылок от людей. Кроме того, обратите внимание, какие окна выделены на вашем экране, и нажмите на текстовые поля перед вводом. Вы также можете использовать встроенную в браузеры поддержку блокирования всплывающих окон / popunder.

Если ничто иное, это исследование не напоминает, что не все уязвимости представляют собой неаккуратный код или экзотическое вредоносное ПО. Некоторые могут быть спрятаны в тех местах, которые мы не ожидаем - например, телефоны VoIP - или воспользоваться тем, что компьютеры спроектированы так, чтобы иметь смысл для людей перед ними.