Para cair no golpe, bastava que usuário visse a mensagem na tela; malware embutido copiava mensagens e listas de contatos da vítima.
Contas do Hotmail foram recentemente alvo de um ataque que explorou uma vulnerabilidade do tipo 0-day (dia zero) no sistema de webmail da Microsoft.
O ataque é mais ousado do que outros porque pode ser executado sem a intervenção do usuário - bastaria abrir um e-mail malicioso.
A maioria dos ataques exige alguma ação adicional por parte do usuário. O malware vem geralmente na forma de um arquivo anexado, ou link URL embutido no e-mail.
Esses vetores de ataque têm obtido bastante sucesso, mas uma certa parcela de usuários já se condicionou a não abrir anexos nem clicar em links.
Mas uma ameaça como esta - que funciona tão logo a mensagem tenha sido vista - pode ter dimensões muito maiores.
A ameaça foi detectada por pesquisadores da Trend Micro, que se empenharam para entendê-la. De acordo com mensagem publicada no blog da empresa, quando uma mensagem especialmente codificada era vista, o script malicioso era executado de forma automática. O programa então roubava mensagens de e-mail e informações de contato da conta Hotmail.
Este ataque específico parece ter sido criado especificamente como um ataque de alvo certo. O script conecta-se a uma URL que inclui duas variáveis: nome da conta do usuário e número. O nome da conta é a conta Hotmail para a qual o ataque foi projetado; o número identifica a ação maliciosa que deve ser executada.
A URL também dispara outro script malicioso - identificado pela Trend Micro como JS_Agent.SMJ. Este script faz com que o Hotmail encaminhe todas as mensagens enviadas à vítima para um endereço de e-mail designado.
A Trend Micro também descobriu um código sofisticado que engana o Hotmail, fazendo-o com que ajude os invasores. "Nós analisamos o código embutido numa mensagem real e descobrimos que, quando o mecanismo de filtragem do Hotmail age sobre o código, ajuda a injetar um caracter nos parâmetros do CSS para converter o script em duas linhas separadas, para renderização pelo motor CSS do navegador. Isto permite que os cibercriminosos alterem o script em algo que permita rodar comandos arbitrários na sessão corrente de login do Hotmail."
A Trend Micro, que participa do Programa de Proteções Ativas da Microsoft (MAPP), relatou o problema à empresa, que já lançou uma atualização que a soluciona.
0 comentários:
Postar um comentário
Dê sua opinião, seu comentário é muito importante para nós.