En los últimos días se ha comenzado a ver una nueva técnica de ataque llamada ClickJacking mediante la cual se podría explotar una vulnerabilidad en los navegadores web más utilizados para realizar distintos tipos de ataques, que podrían terminar en robos de credenciales (nombre de usuario, contraseña, etc.), fraudes y estafas hacia el usuario.

Como era de esperar, los delincuentes informáticos comenzaron a explotar esta técnica para realizar ataques relacionados a phishing y malware. El ataque consiste básicamente en manipular un enlace web de manera de poder engañar al usuario y que termine ingresado a un sitio dañino sin saberlo. En este sitio se le podría robar sus credenciales de acceso o descargar malware como se demuestra a continuación.

Phishing y clicjacking

En los últimos días, ESET ha hallado correos en donde se invita al usuario a ingresar a un sitio bancario para descargar un supuesto certificado de seguridad de la entidad. Al hacer clic, el usuario ingresa a un sitio falso de la entidad en cuestión. Hasta aquí podría pensarse que se trata de un caso de phishing normal.

Lo original de este caso es que justamente se utiliza la técnica denominada ClickJacking para manipular el enlace y, por intermedio del mismo, redireccionar al usuario hacia la descarga de un código malicioso que, en este caso, ESET NOD32 detecta como Win32/TrojanDownloader.Small.OFV.

El código mostrado en la parte inferior realiza justamente esta acción: por un lado se abre una ventana al usuario con las políticas de privacidad del banco auténtico (comando window.open) e inmediatamente después se ofrece la descarga del supuesto certificado (tag href) que en realidad es el malware mencionado. Este funcionamiento puede resultar confuso y, el usuario puede descargar, sin desearlo ni saberlo, el archivo dañino a su equipo.

Si bien este tipo de ataques aún se encuentra en desarrollo y estudio, es muy peligroso y es probable que sea cada vez más utilizado para realizar ataques como el descripto, ya que, como vemos, permite ocultar el redireccionamiento del enlace de manera que no sepamos hacia donde lleva el vínculo mostrado.

Es importante destacar que la técnica utilizada depende de la forma en que los navegadores manipulan (parsean) el código fuente, por lo que la solución al problema podría ser tardía y los delincuentes tendrían una mayor ventana de tiempo para realizar distintos tipos de ataques hacia el usuario. Por ejemplo, la técnica mostrada puede mejorarse y perfeccionarse y lograr descargar e instalar malware en el equipo del usuario sin que el mismo se percate de ninguna acción en su navegador.

Por el momento, como medidas preventivas para contrarrestar este ataque, podemos tener en cuenta las siguientes recomendaciones:

  • Deshabilitar el scripting y los plugins en el navegador. Si bien JavaScript no se necesita para llevar a cabo el ataque, sí lo favorece notablemente.
  • Utilizar Firefox como navegador, con la extensión NoScript podría evitar la ejecución de componentes JavaScript, Flash, entre otros.
  • Utilizar Opera como navegador, deshabilitando los iframes es otra de las opciones viables para evitar el ataque.
  • Si se utiliza Internet Explorer y otro navegador se pueden minimizar, pero no evitar este tipo de ataques.
  • Este ataque afecta a todos los navegadores visuales por lo que utilizar navegadores en modo texto como Links, Lynx o w3m, podría ser una buena opción, aunque esto es recomendable sólo para usuarios con mayores conocimientos técnicos.
  • En casos semejantes al mostrado, la mejor acción es no hacer clic en enlaces provistos en correos electrónicos.
  • Instalar un antivirus con capacidades proactivas capaz de detectar malware desconocido en cualquier momento evitará los casos que descargan códigos maliciosos.
  • Debido a que algunas de estas recomendaciones pueden ser complejas, ESET ha desarrollado una guía para prevenir ataques de ClickJacking en cada navegador.

Esta vulnerabilidad representa un nuevo vector de ataque del cual debemos estar muy atentos, ser cautelosos y conscientes sobre que gran parte de la responsabilidad en cuanto a la prevención recae en nosotros mismos como usuarios, porque somos nosotros el objetivo de los atacantes.

Cristian