Hace unos días les contamos qué es el LikeJacking. Hoy queremos ofrecerles esta información relacionada con otro tipo de malware, cuyo nombre puede resultar desconocido todavía para muchos.

Clickjacking es una técnica maliciosa que engaña a los usuarios de la web y permite revelar información confidencial de estos o tomar el control de sus computadores, simplemente haciendo clics en páginas web que parecen inofensivas. La vulnerabilidad se presenta en casi todos los navegadores y plataformas.

La vulnerabilidad fue descubierta por Jeremiah Grossman y Robert Hansen, quienes al principio no dieron detalles para no difundir la técnica, pero sí se comunicaron con empresas importantes como Microsoft, Mozilla, Apple y Adobe para advertirlos.

El problema es tan grave que el atacante podría hasta tomar imágenes de nuestra webcam sin que nosotros nos imaginemos, o lograr que un usuario haga clic sobre un botón, pero en realidad estaríamos haciendo clic en un enlace malicioso.

Existen múltiples técnicas de clickjacking, empleando diferentes tecnologías web como JavaScript, ActiveX, Flash, etc. Algunas empresas ya han presentado parches o esperan solucionar los problemas en próximas versiones.

Como era de esperar, los delincuentes informáticos comenzaron a explotar esta técnica para realizar ataques relacionados con phishing y malware. El ataque consiste básicamente en manipular un enlace web de tal forma que pueda engañar al usuario y que termine ingresando a un sitio dañino sin saberlo. En este sitio se le podrían robar sus credenciales de acceso o descargar malware

En los últimos días, ESET ha hallado correos en donde se invita al usuario a ingresar a un sitio bancario para descargar un supuesto certificado de seguridad de la entidad. Al hacer clic, el usuario ingresa a un sitio falso de la entidad en cuestión. Hasta aquí podría pensarse que se trata de un caso de phishing normal.

Lo original de este caso es que justamente se utiliza la técnica denominada ClickJacking para manipular el enlace y, por intermedio del mismo, redireccionar al usuario hacia la descarga de un código malicioso que, en este caso, ESET NOD32 detecta como Win32/TrojanDownloader.Small.OFV.

El código mostrado en la parte inferior realiza justamente esta acción: por un lado se abre una ventana al usuario con las políticas de privacidad del banco auténtico (comando window.open) e inmediatamente después se ofrece la descarga del supuesto certificado (tag href) que en realidad es el malware mencionado. Este funcionamiento puede resultar confuso y, el usuario puede descargar, sin desearlo ni saberlo, el archivo dañino a su equipo.

Si bien este tipo de ataques aún se encuentra en desarrollo y estudio, es muy peligroso y es probable que sea cada vez más utilizado para realizar ataques como el descrito, ya que, como vemos, permite ocultar el redireccionamiento del enlace de manera que no sepamos hacia dónde lleva el vínculo mostrado.

Es importante destacar que la técnica utilizada depende de la forma en que los navegadores manipulan (parsean) el código fuente, por lo que la solución al problema podría ser tardía y los delincuentes tendrían una mayor ventaja de tiempo para realizar distintos tipos de ataques hacia el usuario. Por ejemplo, la técnica mostrada puede mejorarse y perfeccionarse y lograr descargar e instalar malware en el equipo del usuario sin que el mismo se percate de ninguna acción en su navegador.

Fuente: ESET Latinoamérica