Una nueva variación de los ataques de clickjacking llamada “DoubleClickjacking” permite a los atacantes engañar a los usuarios para que permitan acciones sensibles mediante doble clic y, al mismo tiempo, eludir las protecciones existentes contra este tipo de ataques.
El clickjacking, también conocido como parcheo de la interfaz de usuario, ocurre cuando actores malintencionados crean páginas web maliciosas que engañan a los visitantes para que hagan clic en elementos ocultos o disfrazados de la página web.
Los ataques funcionan superponiendo una página web legítima en un iframe oculto encima de una página web creada por los atacantes. Esta página web creada por un atacante está diseñada para alinear sus botones y enlaces con los enlaces y botones en el iframe oculto.
Luego, los atacantes utilizan su página web para engañar al usuario para que haga clic en un enlace o botón, por ejemplo para ganar una recompensa o ver una linda foto.
Sin embargo, cuando hacen clic en la página, en realidad están haciendo clic en enlaces y botones en el iframe oculto (el sitio legítimo), lo que podría potencialmente realizar acciones maliciosas, como permitir que una aplicación OAuth se conecte a su cuenta o acepte una solicitud de MFA. . .
A lo largo de los años, los desarrolladores de navegadores web han introducido nuevas funciones que previenen la mayoría de estos ataques, como prohibir el envío de cookies entre sitios o introducir restricciones de seguridad (opciones X-Frame o marco ancestro) sobre la posibilidad de crear iframes en sitios.
Nuevo ataque DoubleClickjacking
Paulos Yibelo, experto en ciberseguridad introducido un nuevo ataque web llamado DoubleClickjacking que explota el momento de los dobles clics del mouse para engañar a los usuarios para que realicen acciones confidenciales en sitios web.
En este escenario de ataque, un actor malintencionado creará un sitio web que muestra un botón aparentemente inofensivo con un señuelo, como “haga clic aquí” para ver su recompensa o ver una película.
Cuando el visitante hace clic en el botón, se creará una nueva ventana que cubre la página original e incluye otro atractivo, como tener que resolver un captcha para continuar. Detrás de escena, JavaScript en la página original transformará esa página en un sitio legítimo donde los atacantes quieren engañar a un usuario para que realice una acción.
El captcha en la nueva ventana superpuesta solicita al visitante que haga doble clic en algo en la página para resolver el captcha. Sin embargo, esta página escucha la evento de mousedowny cuando se detecta, cierra rápidamente la superposición de captcha, lo que hace que el segundo clic llegue al botón de autorización o enlace ahora mostrado en la página legítima previamente oculta.
Esto hace que el usuario haga clic por error en el botón expuesto, lo que potencialmente permite que se instale un complemento, que una aplicación OAuth inicie sesión en su cuenta o que se reconozca un mensaje de autenticación multifactor.
Fuente: Yibelo
Lo que hace que esto sea tan peligroso es que evita todas las defensas actuales contra el clickjacking porque no utiliza un iframe ni intenta pasar cookies a otro dominio. En cambio, las acciones ocurren directamente en sitios legítimos que no están protegidos.
Yibelo dice que este ataque afecta a casi todos los sitios y comparte videos de demostración utilizando DoubleClickjacking para apoderarse de las cuentas de Shopify, Slack y Salesforce.
El investigador también advierte que el ataque no se limita a páginas web ya que también puede utilizarse para extensiones de navegador.
“Por ejemplo, hice una prueba de concepto para las principales carteras criptográficas de navegador que utilizan esta técnica para permitir transacciones Web3 y dApps o deshabilitar VPN para exponer IP, etc.”, dice Yibelo.
“Esto también se puede hacer en teléfonos móviles pidiéndole al objetivo que haga ‘DoubleTap'”.
Para protegerse contra este tipo de ataque, Yibello compartió JavaScript, que podría agregarse a las páginas web para desactivar botones sensibles hasta que se realice un gesto. Esto evitará que al hacer doble clic se haga clic automáticamente en el botón Permitir al eliminar la superposición del atacante.
El investigador también sugiere un posible encabezado HTTP que limite o bloquee el cambio rápido de contexto entre ventanas durante una secuencia de doble clic.