2022/03/25

Truque disfarça URLs maliciosos nas mensagens

Os programas de mensagens mais populares, incluindo o Messenger, Whats e iMessage, são vulneráveis a este ataque que disfarça URLs maliciosos.

A maioria das pessoas já está consiencializada para não clicar em URLs de aspecto suspeito recebidos em mensagens, mas uma nova técnica pode camuflá-los de modo a que pareçam URLs de maior confiança, usando a possibilidade de apresentação de texto invertido (da direita para a esquerda).

No passado já vimos ataques de phishing que utilizavam caracteres unicode parecidos com as letras ocidentais para disfarçar endereços maliciosos. Desta vez a táctica consiste em apresentar o texto ao contrário, abusando da funcionalidade dos textos poderem ter outras orientações noutros países. Com esta táctica, um endereço como 'gepj.xyz' pode ser apresentado à potencial vítima como sendo 'zyx.jpeg', ou criando endereços que pareçam legítimos, vindos de um site da Google ou outra empresa.
A táctica afecta programas de mensagens como o Instagram, iMessage, WhatsApp, Signal, e Facebook Messenger, e também alguns programas de email.

Curiosamente, no iMessage da Apple, a mensagem é apresentada invertida quando se vê a mensagem, mas o preview da mensagem revela o endereço invertido.

De qualquer forma, fica o alerta para que não se deve clicar em nenhum endereço URL vindo de uma origem suspeita - mesmo quando o endereço até parecer ser legítimo ou sem perigo. Não vale a pena arriscar; especialmente tendo em conta que o URL pode direccionar a vítima para um ataque que explora uma vulnerabilidade 0-day (ainda hoje o Chrome recebeu uma actualização de emergência para uma vulnerabilidade crítica).

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]