Especialistas de segurança da Trustwave descobriram um ataque que está sendo considerado uma evolução dos ataques XSS (cross-site scripting) e tem os downloads como novo alvo. Chamado de RFD (Reflected File Download), o ataque é capaz de redirecionar links de download que parecem ser de fontes legítimas, mas, quando executados, acabam instalando scripts e outros malwares voltados para roubo de dados, acesso remoto ou criação de computadores zumbis.
A novidade está permitindo uma escalada nos ataques de engenharia social, já que agora mensagens falsas enviadas por hackers também podem conter links que parecem legítimos, mas que são redirecionados depois que o usuário clica neles. Ainda assim, é preciso que o arquivo seja executado, mas, para os criminosos, essa é a parte mais simples de tudo, já que a vítima já foi fisgada pelo que aparenta ser uma proposta legítima.
Segundo a empresa de segurança, alguns casos já estão sendo registrados na Internet e a ideia é que, cada vez mais, mais casos sejam identificados na medida em que a ameaça se torna mais popular. Entre os exemplos de utilização estão e-mails de bancos oferendo soluções aprimoradas de segurança que seriam essenciais para o acesso, ou de empresas de cobrança com supostos boletos a serem pagos pelos usuários incautos.
A diferença do RFD para os tradicionais ataques de engenharia social está no link. Se o usuário recebesse um e-mail do tipo e passasse o mouse sobre o link para download oferecido, veria que o endereço do arquivo não é da instituição que teria enviado a comunicação, mas sim de terceiros. Entretanto, com a nova técnica, URLs aparentemente legítimas podem ser aplicadas nos e-mails, com o redirecionamento acontecendo entre o clique e a confirmação de que o arquivo pode ser baixado.
Para a Trustwave, a vulnerabilidade precisa ser resolvida na outra ponta, em sites e serviços online. O RFD pode ser usado em sites que utilizem protocolos JavaScript dos tipos JSON ou JSONP, que são tecnologias bastante populares para execução de scripts e estão presentes em boa parte das ferramentas e plataformas web disponíveis no mercado.
Durante a apresentação da vulnerabilidade, realizada na conferência Black Hat Europe, o especialista Oren Hafif, da Trustwave, demonstrou as possibilidades de uso do RFD em plataformas do Google, Microsoft e Yahoo!, além de outros endereços que estão entre os 100 mais acessados do mundo. Segundo ele, todos estão sendo alertados sobre os problemas para que possam tomar atitudes.
O especialista acrescentou que há variações do ataque que modificam inclusive características do próprio Windows, ocultando, por exemplo, o alerta sobre a execução de arquivos baixados da Internet para garantir que o usuário não pense duas vezes antes de rodar o download. A Microsoft também estaria trabalhando nesse sentido, de forma a impedir que o aviso seja escondido.
Enquanto a vulnerabilidade não é resolvida, a orientação é evitar clicar ou baixar arquivos enviados por e-mail, mesmo que as fontes pareçam legítimas.
Com informações de Canaltech