Vidéo: Les logiciels malveillants (Novembre 2024)
Nous parlons beaucoup d’attaques de logiciels malveillants exotiques et de failles de sécurité obscures ici sur SecurityWatch, mais une attaque peut tirer parti de quelque chose d'aussi élémentaire que la façon dont les fenêtres apparaissent sur votre écran. Un chercheur a mis au point une technique selon laquelle les victimes sont incitées à exécuter des programmes malveillants simplement en appuyant sur la lettre "r".
À la fin du mois dernier, le chercheur Rosario Valotta avait publié sur son site Web un article dans lequel il décrivait une attaque fondée sur "des interfaces abusives des navigateurs". La technique utilise certaines bizarreries dans les navigateurs Web, avec juste une touche d'ingénierie sociale ajoutée.
L'attaque
C'est ce qu'on appelle "le keyjacking", d'après la technique du clickjacking, qui consiste à inciter les victimes à cliquer sur un objet générant des réponses inattendues. Dans l'exemple de Valotta, vous visitez un site malveillant et un téléchargement automatique commence. Dans Internet Explorer 9 ou 10 pour Windows 7, une fenêtre de dialogue trop familière apparaît avec les options Exécuter, Enregistrer ou Annuler.
Voici l'astuce: l'attaquant configure le site Web pour qu'il masque la fenêtre de confirmation derrière une page Web, mais garde la fenêtre de confirmation active. Le site Web invite l'utilisateur à appuyer sur la lettre "R", éventuellement à l'aide d'un captcha. Un curseur clignotant gif sur le site Web laisse penser à l'utilisateur que ses frappes au clavier apparaîtront dans la boîte de dialogue du faux captcha, mais qu'il est en fait envoyé à la fenêtre de confirmation où R est le raccourci pour Exécuter.
L’attaque peut également être utilisée dans Windows 8, l’aspect ingénierie sociale étant modifié pour inciter la victime à frapper TAB + R. Pour cela, Valotta suggère d'utiliser un jeu de test de frappe.
Pour tous les utilisateurs de Chrome, Valotta a découvert une autre astuce qui fait partie de la tradition du clickjacking. Dans ce scénario, la victime va cliquer sur quelque chose pour le faire disparaître à la dernière seconde et le clic s'enregistrer sur une fenêtre en dessous.
"Vous ouvrez une fenêtre contextuelle à des coordonnées d'écran spécifiques et la placez sous la fenêtre de premier plan, puis vous lancez le téléchargement d'un fichier exécutable", écrit-il. Une fenêtre au premier plan invite l'utilisateur à cliquer - peut-être pour fermer une annonce.
"L'attaquant, utilisant certains JS, est capable de suivre les coordonnées du pointeur de la souris. Ainsi, dès que la souris survole le bouton, il peut fermer la fenêtre de premier plan", poursuit Valotta. "Si le timing est approprié, la victime a de bonnes chances de cliquer sur la barre de notification popunder sous-jacente, ce qui permet de lancer automatiquement le fichier exécutable."
La partie la plus effrayante de cette attaque est l'ingénierie sociale. Dans son billet de blog, Valotta souligne que M. Zalewski et C. Jackson ont déjà effectué des recherches sur la probabilité qu'une personne tombe pour un détournement de clic. Selon Valotta, le succès a été atteint 90% du temps.
Ne paniquez pas trop
Valotta concède qu'il y a quelques ratés dans son plan. D'une part, le filtre Smartscreen de Microsoft peut éliminer ce type d'attaques une fois qu'ils sont signalés. Si l'exécutable masqué nécessite des privilèges d'administrateur, le contrôle d'accès de l'utilisateur générera un autre avertissement. Bien sûr, Smartscreen n’est pas infaillible et Valotta résout le problème de l’UAC en demandant: "Avez-vous vraiment besoin de privilèges administratifs pour causer des dommages graves à vos victimes?"
Comme toujours, le moyen le plus simple d'éviter l'attaque consiste à ne pas consulter le site Web. Évitez les offres de téléchargements étranges et de liens hors du commun provenant de personnes. Notez également quelles fenêtres sont en surbrillance sur votre écran et cliquez sur les champs de texte avant de les saisir. Vous pouvez également utiliser le support de blocage des popups / pop-ups intégré dans les navigateurs.
À tout le moins, ces recherches rappellent que toutes les vulnérabilités ne sont pas du code bâclé ou des logiciels malveillants exotiques. Certains peuvent être cachés dans des endroits inattendus, tels que les téléphones VoIP, ou profiter du fait que les ordinateurs sont conçus pour donner un sens aux êtres humains qui se trouvent devant eux.
