Trend Micro reportó que clickjack es una nueva amenaza


El clickjacking utiliza cualquier tipo de enlace, ya sean vínculos en imágenes en la forma de botones hasta vínculos de texto.





Trend Micro reportó que clickjack es una nueva amenaza similar al cross-site scripting –ataque que se remonta a la década de los noventas-; la amenaza ocurre cuando los hackers y scammers ocultan contenido malicioso bajo el disfraz de páginas Web legítimas, y lo que hacen es robar los clics del ratón.

La empresa destacó que los hackers pueden utilizar iFRAMES o JavaScript malicioso para cargar este contenido desde un sitio usando cualquier navegador. El clickjacking utiliza cualquier tipo de enlace, ya sean vínculos en imágenes en la forma de botones hasta vínculos de texto.

Este tipo de amenaza tiene diversas formar de operar, por ejemplo, los hackers pueden usar la técnica para presentar un cuadro de diálogo emergente que solicita información personal de un usuario desconocido o pueden colocar sobre un botón existente un “botón falso” para que cuando se dé clic sobre él, lo lleva a un sitio malicioso o de phishing.

El clickjacking afecta virtualmente todos los sistemas operativos y navegadores, como Microsoft Internet Explorer, Mozilla Firefox, Apple Safari, Google Chrome y Opera; además de que puede afectar los programas de Adobe Flash.

Trend Micro informó que no existe una solución integral para el clickjacking ya que explota estándares HTML legítimos para entregar contenido malicioso.

Paul Ferguson, investigador de Amenazas Avanzadas de Trend Micro, precisó que “el clickjacking no se ha propagado debido a que el código es difícil de escribir y aún hay una gran cantidad de recursos al alcance en la forma de explotaciones al que tienen acceso los ciber criminales”. De manera que Ferguson augura que cuando otros métodos pasen de moda, los hackers dedicarán más tiempo y energía al clickjacking. “Si bien es relativamente fácil escribir código SQL que inserte un IFRAME o JavaScript malicioso para que ayude en el clickjacking, el código debe colocarse con precisión en la página para que parezca legítima y esto no es fácil de hacer”.

Respecto de cómo protegerse de este ataque, la empresa indica que para Microsoft, Mozilla, Apple y Google es crear mejores protecciones en futuras versiones de sus aplicaciones. En tanto, se recomienda actualizar los sistemas operativos y las aplicaciones instaladas con los parches de seguridad recientes. Si el software carece de una función de actualización automática, los usuarios pueden visitar el sitio Web del proveedor de software para actualizar manualmente descargando el parche adecuado.

Fuente:
por Karla Niño G.
http://www.addictware.com.mx



Otras noticias de interés:

Nuevos parches para IE
Hace unas semanas se descubrieron ciertas vulnerabilidades en IE6 e IE7 que se presentaban al visitar páginas web con cierto código malicioso, que provocaba la instalación silenciosa del malware en nuestro PC, y ahora Microsoft se prepara para par...
Antivirus vulnerables al "Filename Bypassing"
Según un reporte de SecuBox Labs., publicado por SecuriTeam.com, algunos programas antivirus no examinan nombres de archivos que contengan caracteres ASCII no imprimibles, y por lo tanto, en lugar de bloquearlos, simplemente los ignora...
Vulnerabilidad crítica en Macromedia Flash Player
Una vulnerabilidad crítica ha sido identificada en Macromedia Flash Player, la cuál puede permitir a un atacante que explote exitosamente este problema, tomar el control total del sistema afectado....
Problemas de permisos con actualización con parche MS05-051 de MS Windows
Microsoft ha informado que se pueden producir algunos problemas en equipos con Windows XP, Windows 2000 Server o Windows Server 2003, después de la instalación de la actualización crítica anunciada en el boletín MS05-051, publicado en octubre....
Stallman aboga por eliminar la SGAE porque ¡no merece existir!
Ni siquiera la Sociedad General de Autores y Editores (SGAE) se libró ayer de los varapalos que, entre taza y taza de té, propinó Richard Stallman en la conferencia que tuvo lugar en la Escuela Politécnica Superior de Ingeniería de Gijón: «Es ...
Diagnosticar los problemas de aplicación principal desafío para los responsables de red
Los responsables de red encargados de la localización y resolución de problemas de rendimiento afirman su dificultad a la hora de separar los problemas relacionados con la red de los relacionados con las aplicación, así lo afirma una encuesta rea...
Descubre una nueva técnica para hackear smartphones
Un experto en seguridad informática asegura haber descubierto una forma completamente nueva de hackear los teléfonos móviles a través del procesador de banda base....
Metasploit Framework: usando las armas del enemigo
El proyecto Metasploit Project desarrolla desde hace tiempo una de las suites de penetración de sistemas opensource más populares. Si eres el responsable de seguridad de una red, deberías de familiarizarte con esta herramienta,Metasploit Framework...
Salto de restricciones en PHP 4.x y 5.x
Se ha encontrado una vulnerabilidad en PHP que puede ser aprovechada por atacantes para elevar privilegios....
El Vaticano teme espionaje electrónico durante el próximo Cónclave
En 1978, cuando Juan Pablo II fue elegido, el mundo era muy distinto al actual. La posibilidad de espiar las deliberaciones que condujeron a su elección estaba al alcance de muy pocos. Pero el próximo Cónclave del 18 de Abril tendrá lugar en plen...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • amenaza
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • clickjack
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micro
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nueva
  • opensource
  • pgp
  • php
  • reporto
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • trend
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra