domingo, marzo 20, 2011

Camuflar un troyano como un vídeo en Apple Safari 5.0.4

Una de las características principales en las que los navegadores tienen que hacer foco es en la protecciones contra las técnicas de ingeniería social. Muchos han sido los trucos utilizados por atacantes para engañar al usuario y hacerle creer que estaba descargando un fichero, viendo una web o haciendo clic en una opción, cuando realmente estaba siendo engañado.

Como tuve algo de tiempo en Buenos Aires, quise probar como andaban las nuevas versiones de los navegadores contra un truco sencillo de ingeniería social. En esta ocasión es Apple Safari 5.0.4, es decir, la última versión publicada, la que cae en un engaño muy tonto a la hora de mostrar el nombre del fichero que le está descargando al usuario.

Supongamos que una web maliciosa decide mostrar un link a un supuesto vídeo de Paris Hilton haciendo sus cosas con sus amigos en uno de sus hoteles. Si el usuario de la web, ávido de conocimiento y ganas de descargar el archivo, hace clic en el fichero para que se descargue, el navegador mostrará el nombre del fichero a descargar y la opción a aplicar una vez descargado, es decir, abrir, ejecutar, guardar, etcétera.

Uno de los trucos más utilizados a lo largo de la historia ha sido el de la doble extensión. El usuario cree que está descargando un archivo .avi, pero realmente es un .avi.exe, es decir. Un fichero ejecutable.

Las últimas versiones de los navegadores de Internet Explorer, Google Chrome, Firefox u Opera, tienen especial cuidado contra este tipo de trucos, así, tienen mucho cuidado de mostrar la extensión del fichero a la hora de enseñarle al usuario el cuadro de diálogo.

Internet Explorer y Google Chrome, separan la extensión y siempre la ponen al final del archivo. En el supuesto caso de que el fichero tenga un nombre muy largo, los navegadores mostrarán la primera parte del nombre del archivo y la extensión. Firefox muestra de la extensión hacia atrás lo que entre y Opera selecciona parte del principio del nombre, y parte del final con la extensión.


Figura 1: Visualización en Opera


Figura 2: Visualización en Internet Explorer 9


Figura 3: Visualización en Google Chrome

Sin embargo, Apple Safari 5.0.4 no hace eso, basta con solicitar la descarga de un fichero con un tamaño fijo de caracterectes, tal y como se ve a continuación, para que la auténtica extensión del fichero quede sustituida por unos sutiles puntos suspensivos.


Figura 4: Troyano con doble extensión simulando ser .avi


Figura 5: Visualización del troyano en Apple Safari 5.0.4

Si el usuario no presta atención a los puntos suspensivos y da al botón de ejecutar, pensando que se le va a reproducir el tan ansiado vídeo, lo que va a obtener, por el contrario, es la ejecución de un troyano. Sencillo, pero funcional y peligroso.

Saludos Malignos!

2 comentarios:

  1. tan peligroso como un .exe en OSX :)

    ResponderEliminar
  2. Anónimo, fiera, Safari corre desde hacer muuuucho tiempo en Windows.

    ResponderEliminar