Man in the Browser (MITB) é um novo tipo de ataque, cujo principal objetivo é o de espionar sessões do navegador (na maior parte bancos) e, nesse processo interceptar e modificar o conteúdo da página web sem que o usuário perceba. Em um ataque MITB clássico, é muito provável que o que o usuário está vendo na sua janela do navegador não é algo que o servidor real está enviando. Da mesma forma, o que o servidor vê do outro lado pode não ser o que o usuário tinha a intenção de enviar.
Porque MITB? Quão diferente é em relação ao sequestro de browser convencional? Vou explicar em breve.
Como também vimos no passado, o seqüestro de navegador é uma técnica evasiva usada por modernos Trojans ladrões de senha e bancários. O seqüestro convencional rouba as credenciais do usuário quando são inseridos em formulários web. É uma mudança em relação aos keyloggers, que capturam cada tecla digitada pela vítima, e nesse processo enviam grandes quantidades de informação irrelevante para a hacker. As coisas estavam indo bastante bem com o seqüestro convencional antes que os bancos introduzissem a autenticação multi-fatorial. Com ela, nome de usuário e senhas convencionais não são suficientes para acessar uma conta bancária. Deixem-me explicar a autenticação de vários fatores, tomando o "banco XYZ 'como exemplo:
O Banco XYZ tem uma checagem de segurança com o nome de "Passe Seguro". Quando um usuário tenta se logar em qualquer conta do XYZ de uma máquina que não tenha sido usado no passado para isso, o XYZ, como medida de precaução, irá enviar um código aleatório (via SMS) para telefone celular do usuário e o exige antes de solicitar a senha. Este código de passagem, com uma vigência de dois minutos, vai se certificar de que é realmente o usuário real. Quando o usuário consegue passar por esta verificação adicional, o Banco XYZ por padrão não vai insistir novamente e o usuário só precisará de nome de usuário convencional / senha na partir da próxima vez.
O que isto significa é que, sem o "Passe de Segurança", registrar-se em uma conta bancária a partir de um local diferente, mesmo com credenciais roubadas, será praticamente impossível. Mas, "onde há uma vontade há um caminho". Aí vêm os ataques MITB.
Caso 1: (situação imaginária)
Bob, um contador em uma empresa local, é um cara apaixonado que adora trabalhar, mesmo durante as horas de folga. Um dia, enquanto navega na Internet a partir de casa, em busca de alguns softwares freeware, de repente ele viu que seu browser deixar de funcionar inesperadamente. Hmm. .. estranho, pode ser que algum tipo de bug de software, ele pensou, e abriu uma outra janela do navegador para continuar sua busca.
Neste ponto Bob não tinha idéia de que sua máquina foi infectada com um desagradável Trojan bancário, o Zeus / Zbot. O Zeus tinha acabado de explorar uma vulnerabilidade em seu navegador e instalou-se em silêncio no seu PC.
Mais tarde naquela noite, ele pensou em terminar mais algumas tarefas e logou-se em sua conta bancária da empresa no banco XYZ para fazer algumas transferências. Ao acessar a página de login, ele encontrou algo estranho. A página de entrada estava pedindo um código de segurança adicional. Ele ficou confuso com isso (já tinha passado por essa verificação anterior). Então pensou que talvez o banco estivesse apenas sendo cauteloso, por isso pediu a senha extra novamente e registrou-se normalmente. Ele não sabia que aquele Passe de Segurança nunca foi pedido pelo servidor bancário. Foi o Zeus Trojan instalado dentro de seu navegador que mudou a resposta do servidor sob a forma de html (pouco antes do navegador processá-lo) e injetou este campo adicional.
O verdadeiro propósito desta injeção do "Passe de Segurança" 'foi roubar a senha e enviá-la para o atacante via IM, juntamente com outras credenciais. Agora o atacante, com todos os fatores de autenticação na mão, tem dois minutos (código de acesso normalmente expiram em minutos) para entrar na conta do Bob a partir de outro local. Uma vez na conta do Bob, o atacante pode transferir o saldo disponível para qualquer outra conta. Normalmente, para a transferência de fundos roubados, contas de laranjas são utilizadas. São pessoas inocentes recrutadas pelos criminosos por trás do software malicioso, através da Internet e geralmente sem saber o real tipo de atividades em que ele se envolverá. O principal trabalho desses laranjas é transferir qualquer montante enviado para as suas contas para a do atacante, em locais distantes como a Rússia, Ucrânia, etc, ficando com uma pequena comissão.
Como é que o Zeus fez tudo isso? Toda a metodologia de ataque é controlada pelo arquivo de configuração. Este arquivo é transferido de forma criptografada, e se parece com isso:
Este arquivo de configuração é preparado pelo atacante e distribuído a todos os zombies Zeus. Com base nestes dados, o Zeus decide, então, que bancos atacar. Este arquivo de configuração também contém o código html que deve ser injetado em páginas bancárias legítimas, enganando o usuário para responder a todas as perguntas secretas / senha etc.
Caso 2: (situação imaginária)
É Bob novamente, e desta vez o seu PC está infectado com outro malware MITB URLzone / Bebloh. Após terminar sua busca por soft freeware, ele decide logar-se em sua conta bancária XYZ para realizar algumas transferências bancárias. Ele entra em sua conta como de costume, a página de login não pede a senha extra dessa vez. Ele faz uma transferência bancária no valor de 10.000 dólares ao seu cliente (Sr. David) e desconecta. Ele não tinha nenhum indício de que algo realmente ruim aconteceu durante o processo de transferência eletrônica. Isto é o que se passou em segundo plano:
Assim que Bob inseriu as informações da conta do David e fez o pedido de transferência ao banco, o URLzone silenciosamente trocou as informações da conta com as da um dos seus laranjas (Jerry). O banco, como instruído, transferiu 10 000 dólares e enviou uma página de confirmação indicando o sucesso da transferência para a conta de Jerry. Bem, Bob iria perceber a fraude logo depois de ver a resposta do banco. Infelizmente isso não vai acontecer, pois o URLzone mudou a resposta do banco, dessa vez substituindo os dados de Jerry pelos de David e mostrou tudo para Bob, sem deixar pistas de que o dinheiro nunca chegou a David.
Bob URLZone Banco
Transfere fundo para David ---> [Faz a modificação] ---> Transfere fundos para Jerry
Fundos para David <--- [Resposta modificada] <--- Fundos enviados para Jerry
Como o Zeus, o URLzone também é controlado por seu arquivo de configuração. Este arquivo contém informações completas sobre as contas laranjas, nomes, etc. Este arquivo também contém os nomes dos bancos-alvo etc.
Assim como o Zeus, o URLzone também é criado usando um kit (disponível no mercado negro). Isso significa que o comprador deste toolkit pode criar malware personalizado ou botnets com CnCs e configurações diferentes, mas com toda a flexibilidade e poder do kit original. Tendo um kit desses nas mãos de vários grupos criminosos é um retrato assustador. Simplesmente não é suficiente para derrubar uma botnet particular ou um grupo criminoso para resolver este problema. Pior de tudo, Zeus e URLzone não são os únicos malware MITB no momento, outros tipos de malware como Bzub, Torpig etc são da mesma categoria.
Pode ser a hora de acompanharmos de perto a segurança sendo oferecida por nossos bancos. Eles podem nos proteger contra os ataques MITB?
.jpg)
0 comentários:
Postar um comentário