Antivírus blog

vírusok, férgek, botnetek, kártevők

Mai szavunk pedig: keyjacking

2013. július 01. 10:25 - Csizmazia Darab István [Rambo]

A kártevőterjesztők trükkjeinek tárháza kimeríthetetlen, ötleteik frissek és furmányosak, így hát a korábbi "clickjacking" után most itt a "keyjacking". Ezúttal úgy tévesztik meg a felhasználót, hogy azt hiszi, captcha-t gépel be, pedig valójában ehelyett egy kártevő lefuttatását engedélyezi. Social engineering faktor egyelőre olaszul, de a trükk sajnos nagy valószínűséggel előbb-utóbb nyelvfüggetlenül is felbukkan majd mindenhol.

Először azonban lássuk a klasszikus clickjackinget. Erről már többször és többféle formában is szó volt, röviden a képernyőn vannak olyan másnak látszó területek, amikre ha kattintunk, (szinte) észrevétlenül elirányít minket idegen weboldalakra. Látszólag csak egy képre kattintunk, valójában azonban mégsem. Ellene éljen és virágozzon a NoScript böngésző kiegészítő, a dolog az elkövetők számára pedig ott nyer értelmet, hogy enyhébb esetben a csalók a lekattintott, reklámokat megjelentető, vagy akár szokásaink után kérdezgető weblapok, űrlapok után a hirdetőktől, piackutatóktól fejpénzt kapnak, illetve súlyosabb esetben kártevős oldalakra jutva meg is fertőzödhetünk.

És akkor jöjjön a keyjacking, amire olaszországi biztonsági kutatók figyeltek fel. Ha Internet Explorer alatt rákattintunk mondjuk egy EXE állományra, akkor egy dialógusablakot kapunk: Run, Save vagy Cancel, magyarul futtatjuk közvetlenül, elmentjük egy adott mappába, vagy meggondoljuk magunkat és nem teszünk semmit. Nos erre építette az elgondolást az az átverés, amely ezt a kérdést feltevő ablakot eltakarva egy másik, animált GIF-et tartalmazó ablakot jelenít meg egy IFRAME-ben, és látszólag captcha-t kér be. Ugye az animált GIF ahhoz kellett, hogy a beviteli mezőnél élethűen villoghasson a kurzor.

A nagy trükk itt az, hogy csak a captcha kód első betűje - az "e" - kell, hogy megegyezzen az eltakart ablak első, futtatást engedélyező menüpont első betűjével, ami jelen esetben "Esegui". Az hogy mit gépel utána, egyezik-e vagy sem, nem is számít. Ha a szerencsétlen áldozat lépre megy, direktben futtatja a letölthető EXE állományt, ami ha nincs megfelelő antivírus védelme, azonnal akár meg is fertőzheti a rendszerét. A különféle böngészők különféle módon kezelik ezt a fajta próbálkozást, IE alatt is jelenhet meg figyelmeztető sáv, azonban a leghatékonyabban a Mozilla Firefox int be a keyjackingnek: a kamu ablak NEM takarja le a fájl letöltési párbeszéd ablakot, így ott biztosan nem vernek át vele.

Elgondolkodtató módszer ez, ami még ráadásul jól el is bizonytalanítja az embert, mikor megpróbál visszaemlékezni legutóbbi nem Firefox alatti captcha kitöltéseire: vajon az is ilyen lehetett, vagy talán mégsem? Jól tesszük, ha amellett, hogy naprakész internetbiztonság csomaggal védekezünk, és biztonságos böngésző klienst használunk, mostantól picit jobban odafigyelünk a letöltéseinkre, valamint korábban kapkodva és gépiesen/bambán kitöltögetett captcha-inkra is.

2 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr725385715

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

titan 2013.07.01. 15:05:13

azért remélem nem csak bennem kelt gyanakvást ha villogó kurzor mellett nem tudok begépelni valamit. Attól függetlenül, hogy mivel FF-t használok, szerencsére hozzám nem jut el a dolog.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2013.07.01. 21:32:05

Szia Titan!

A felvetés jó, csak ha már az első karaktert leütödted, akkor már mindegy :-) Nálunk majd a captcha R azaz Run, vagy F azaz Futtat betűkkel fog kezdődni.

Windows7 alatt IE9 és IE10, valamint Windows8 alatt Chrome-on működik a trükk, IE8 alatt azonban jön a cikkben is bemutatott figyelmeztető üzenet.
www.theregister.co.uk/2013/07/01/keyjacking_attack_targets_letter_r_captchas/