キージャックのためにrをダイヤル：captchaでマルウェアを実行する

SecurityWatchでは、エキゾチックなマルウェア攻撃とセキュリティの脆弱性についてここで詳しく説明していますが、攻撃は、画面にウィンドウが表示される方法と同じくらい基本的なことを利用できます。 ある研究者は、「r」という文字を押すだけで、被害者をだましてマルウェアを実行させる手法を実証しています。

先月遅く、研究者のロザリオ・ヴァロッタは彼のウェブサイトに投稿し、そこで「ブラウザのユーザーインターフェースの悪用」を中心とした攻撃の概要を説明しました。 この手法は、Webブラウザーのいくつかの癖を利用し、ほんの少しのソーシャルエンジニアリングをスローします。

攻撃

クリックジャック技術にちなんで「キージャック」と呼ばれ、被害者がだまされて予期しない応答を生成するオブジェクトをクリックさせます。 Valottaの例では、悪意のあるサイトにアクセスし、自動ダウンロードが開始されます。 Windows 7用のInternet Explorer 9または10では、これにより、実行、保存、またはキャンセルのオプションを備えた使い慣れたダイアログウィンドウがトリガーされます。

ここに秘comesがあります。攻撃者は、Webページの背後に確認ウィンドウを隠すようにWebサイトを設定しますが、確認ウィンドウに焦点を合わせます。 Webサイトは、おそらくキャプチャを使用して、文字「R」を押すようにユーザーに促します。 Webサイト上のカーソルgifが点滅する と 、ユーザーは自分のキーストロークが偽のキャプチャのダイアログボックスに表示される と思います が、実際にはRはRunのショートカットである確認ウィンドウに送信されます。

この攻撃はWindows 8でも使用できます。ソーシャルエンジニアリングの側面を変更して、被害者がTAB + Rを攻撃するように誘導します。 このため、Valottaはタイピングテストゲームの使用を提案しています。

そこにいるすべてのChromeユーザーのために、Valottaは従来のクリックジャッキングの脈にある別のトリックを見つけました。 このシナリオでは、被害者は何かをクリックするだけで、最後の1秒間に何かが消え、その下のウィンドウでクリックが登録されます。

「特定の画面座標でポップアンダーウィンドウを開き、それをフォアグラウンドウィンドウの下に置き、実行可能ファイルのダウンロードを開始します」と彼は書いています。 フォアグラウンドのウィンドウは、ユーザーにクリックするように促します。おそらく広告を閉じるためです。

「一部のJSを使用する攻撃者はマウスポインターの座標を追跡できるため、マウスがボタン上でホバリングすると、攻撃者はフォアグラウンドウィンドウを閉じることができます」とValottaは続けます。 「タイミングが適切な場合、被害者が基本的なポップアンダー通知バーをクリックする可能性が高いため、実際に実行可能ファイルを自己起動します。」

この攻撃の最も恐ろしい部分は、ソーシャルエンジニアリングです。 彼のブログ投稿で、Valottaは、M.ZalewskiとC.Jacksonがすでにクリックジャッキングに陥る可能性を調査していることを指摘しています。 Valottaによると、それは90％以上の時間で成功しました。

あまりパニックにならないでください

ヴァロッタは、彼の計画にいくつかの問題があることを認めています。 1つは、MicrosoftのSmartscreenフィルターは、これらの種類の攻撃が報告された後、それらを排除できることです。 非表示の実行可能ファイルに管理者特権が必要な場合、ユーザーアクセス制御は別の警告を生成します。 もちろん、Smartscreenは万全ではなく、Valottaは「被害者に深刻な損害を与えるために本当に管理者権限が必要ですか？」と尋ねることでUACの問題に対処しています。

いつものように、攻撃を回避する最も簡単な方法は、Webサイトにアクセスしないことです。 人々からの奇妙なダウンロードや不自然なリンクの提供を避けてください。 また、画面上で強調表示されているウィンドウをメモし、入力する前にテキストフィールドをクリックします。 また、ブラウザのビルトインポップアップ/ポップアンダーブロックサポートを使用することもできます。

この研究は、すべての脆弱性がずさんなコードまたはエキゾチックなマルウェアではないことを思い出させてくれます。 VoIP電話など、予期しない場所に隠れているものもあれば、コンピューターが目の前の人間にとって意味があるように設計されているという事実を利用するものもあります。