Cuidado: novo ataque foca em links de downloads

Por Redação | 20 de Outubro de 2014 às 10h25
photo_camera Andrey_Popov/Shutterstock

Foto:Andrey_Popov/Shutterstock

O que está sendo chamado de uma evolução dos ataques XSS (cross-site scripting) foi descoberta pelos especialistas em segurança da Trustwave e tem os downloads como novo alvo. O RFD (Reflected File Download), como está sendo chamado, é capaz de redirecionar links de download que parecem ser de fontes legítimas, mas, quando executados, acabam instalando scripts e outros malwares voltados para roubo de dados, acesso remoto ou criação de computadores zumbis. As informações são da PC World.

A novidade está permitindo uma escalada nos ataques de engenharia social, já que, agora, mensagens falsas enviadas por hackers também podem conter links que parecem legítimos, mas que são redirecionados depois que o usuário clica neles. Ainda assim, é preciso que o arquivo seja executado, mas, para os criminosos, essa é a parte mais simples de tudo, já que a vítima já foi fisgada pelo que aparenta ser uma proposta legítima.

De acordo com a firma de segurança, alguns casos já estão sendo registrados internet afora e a ideia é que mais e mais sejam identificados na medida em que a ameaça se torna mais popular. Entre os exemplos de utilização estão e-mails de bancos oferendo soluções aprimoradas de segurança que seriam essenciais para o acesso, ou de empresas de cobrança com supostos boletos a serem pagos pelos usuários incautos.

A diferença do RFD para os tradicionais ataques de engenharia social está no link. Caso o usuário recebesse um e-mail do tipo e passasse o mouse sobre o link para download oferecido, veria que o endereço do arquivo não é da instituição que teria enviado a comunicação, mas sim de terceiros. Com a nova técnica, porém, URLs aparentemente legítimas podem ser aplicadas nos e-mails, com o redirecionamento acontecendo entre o clique e a confirmação de que o arquivo pode ser baixado.

Segundo a Trustwave, trata-se de uma vulnerabilidade que precisa ser resolvida na outra ponta, em sites e serviços online. O RFD pode ser usado em sites que utilizem protocolos JavaScript dos tipos JSON ou JSONP. Ambas são tecnologias bastante populares para execução de scripts e estão presentes em boa parte das ferramentas e plataformas web disponíveis no mercado.

Durante a apresentação da vulnerabilidade, realizada durante a conferência Black Hat Europe, o especialista Oren Hafif, da Trustwave, demonstrou as possibilidades de uso do RFD em plataformas do Google, Microsoft e Yahoo!, além de outros endereços que estão entre os 100 mais acessados do mundo. Segundo ele, todos estão sendo alertados sobre os problemas para que possam tomar atitudes.

O especialista disse ainda que há variações do ataque que modificam até mesmo características do próprio Windows, ocultando, por exemplo, o alerta sobre a execução de arquivos baixados da internet para garantir que o usuário não pense duas vezes antes de rodar o download. A Microsoft também estaria trabalhando nesse sentido, de forma a impedir que o aviso seja escondido.

Enquanto a vulnerabilidade não é resolvida, a orientação vigente é a de evitar clicar ou baixar arquivos enviados por e-mail, mesmo que as fontes pareçam legítimas. Bancos e outras instituições dificilmente fazem comunicados sobre o internet banking ou cobranças por meio de e-mails, portanto desconfie de mensagens desse tipo e sempre procure os meios oficiais caso acredite que o texto seja legítimo.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.