Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Ataque pastejacking convierte a los portapapeles en una amenaza
Comandos de copiar y pegar dentro de la terminal permite a los atacantes automáticamente añadir, ejecutar y luego ocultar código malicioso.
Durante un largo tiempo ha sido posible para los desarrolladores usar CSS para añadir contenido malicioso en el portapapeles sin notificar al usuario y así engañarlo para que ejecute comandos de terminal no deseados. Este tipo de ataque es conocido como secuestro de portapapeles y en la mayoría de los escenarios es inútil, excepto cuando el usuario copia algo dentro de su terminal.
El investigador de seguridad Dylan Ayrey publicó una nueva versión de este ataque que sólo utiliza JavaScript como medio de ataque, no CSS. Llamado Pastejacking, el ataque de prueba de concepto funciona de la misma vieja manera que exploits basados en CSS, pero con un giro.
"Lo que es diferente es el texto que puede ser copiado después de un evento, puede ser copiado en un contador de tiempo corto siguiendo un evento y es más fácil de copiar en caracteres hexadecimales en el portapapeles, los cuales pueden ser utilizados para explotar VIM", explicó Ayrey.
JavaScript es mucho más potente y versátil en comparación con CSS. Mientras en el exploit CSS el usuario tenía que copiar y pegar todo el texto malicioso, con JavaScript los usuarios ni siquiera tienen que seleccionar todo el texto malicioso. Un carácter es suficiente. Teóricamente, un atacante podría añadir su código JavaScript Pastejacking malicioso para toda la página, y cuando se pega cualquier cosa dentro de la consola podría ejecutar comandos escondidos a sus espaldas.
Ayrey aún incluso incluye una demostración en la cual el atacante ejecuta su código malicioso, limpia la consola y luego añade el código copiado del usuario, haciéndoles creer que no pasa nada.
El ataque puede ser mortal si es combinado con las páginas de soporte técnico o correos electrónicos de phishing. Los usuarios pueden pensar que están copiando texto inocente dentro de su consola, pero de hecho, están ejecutando el exploit por ellos mismos de los ladrones. Debido a que los comandos de la terminal son ejecutados automáticamente, el usuario ni siquiera tiene que presionar Intro para ejecutar el código malicioso, CTRL + V es suficiente.
Por ejemplo, alguien en busca de consejos sobre los comandos cmd.exe podría copiar y pegar el código que encontró en línea en artículos de un tutorial, pero la persona maliciosa detrás de ese sitio en particular podría anexar decenas de líneas de código malicioso que descargan malware desde una fuente en línea e instalarse en su computadora. Todo esto puede suceder en silencio, sin que el usuario se percate de nada.
