Ataque via Word compromete segurança HTTPS

O novo ataque usa documentos do Word carregados com código malicioso

Os pesquisadores de segurança têm alertado nos últimos meses como a configuração do proxy web em navegadores e sistemas operacionais podem ser utilizados para roubar dados confidenciais. Parece que os atacantes estão conseguindo.

Um novo tipo de ataque descoberto e analisado por investigadores de malware da Microsoft utiliza documentos do Word com o código malicioso que não instala um malware tradicional, mas em vez disso, configura os navegadores para usar um proxy web controlado pelos atacantes.

Além de conter as configurações de proxy pirata, o ataque também instala um certificado raiz auto-assinado no sistema permitindo que os invasores espionem o tráfego HTTPS criptografado que passa por seus servidores proxy pirata.

O ataque é realizado por meio de e-mails spam contendo arquivo .docx anexo. O documento, quando aberto, assemelha-se a uma fatura ou recibo. Se houver autorização para execução, o arquivo infectado roda um código JavaScript malicioso.

O código é ocultado, porém seu objetivo é executar vários scripts do PowerShell. PowerShell é um ambiente embutido no Windows que permite a automação de tarefas administrativas do sistema operacional.

Um dos scripts do PowerShell implanta um certificado raiz auto-assinado que será posteriormente utilizado para monitorar o tráfego HTTPS. Outro script adiciona o mesmo certificado para o navegador Mozilla Firefox, que usa uma loja de certificados separado do que o do Windows.

O terceiro script instala um cliente que permite que o computador se conecte à rede anônima Tor. Isso permite que atacantes possam mudar facilmente o servidor proxy, se ele for desativado por pesquisadores ou empresas de segurança.

“Neste momento, o sistema está totalmente infectado e o tráfego na web, incluindo HTTPS, pode ser visto pelo servidor proxy atribuído”, segundo informaram os pesquisadores da Microsoft em um post de blog . “Isso permite que atacantes possam redirecionar remotamente, modificar e monitorar o tráfego. Informações ou credenciais podem ser roubados remotamente, sem o conhecimento do usuário.”

Referência (em Inglês):
http://www.networkworld.com/article/3113941/attackers-deploy-rogue-proxies-on-computers-to-hijack-https-traffic.html