Descargar y abrir archivos protegidos por DRM de Windows desanonimiza a los usuarios de Tor Browser y revelar sus direcciones IP reales, han advertido investigadores de seguridad de la hacker house.
Ataques utilizando archivos multimedia protegidos por DRM de Windows son conocidos desde el año 2005, pero hasta hace poco, sólo habian sido utilizados para propagar malware.
Los ataques intentaban atraer a los usuarios a abrir y reproducir archivos protegidos con DRM. Estos archivos se abrían en Windows Media Player, y los usuarios veían una ventana emergente que les pedía que visitase un enlace para validar la licencia del archivo.
Los usuarios que aceptaban eran redirigidos a un \"URL autorización.\" Desconocido para los usuarios era que los creadores de malware podrían modificar estos enlaces para explotar juegos o archivos malware. Los usuarios daban permiso al popup para visitar una URL externa (Hacker house)
Los investigadores de Hacker house encontraron que este popup pidiendo a los usuarios si querían visitar la URL aparecería sólo para los archivos DRM que no se habían firmado con las herramientas adecuadas.
Si el atacante firmó los archivos protegidos con DRM con SDKs oficiales de Microsoft tales como Windows Media Encoder, no mostraría el popup, y al usuario automáticamente se le abre una instancia de Internet Explorer y acceder a la URL.
Los investigadores de Hacker house dicen que el costo de firmar correctamente archivos multimedia DRM oscila alrededor $10.000, una cifra que muchos creadores de malware de gama baja no están dispuestos a pagar por semejante nicho de ataque.
Por ejemplo, una Agencia del Estado perteneciente a la busqueda y detención de ciberdelitos podría alojar archivos firmados correctamente protegidos mediante DRM en sitios pretendiendo ser pornografía infantil. Cuando un usuario intenta ver el archivo, el archivo multimedia de DRM usaría Internet Explorer para hacer ping a un servidor que pertenece a la Agencia del Estado.
La misma táctica puede utilizarse también para militantes de ISIS tratando de ver videos de propaganda, venta de drogas ilegales y compradores de armas cuando intentan ver demos de productos en video, y mucho más.
Un video mostrando el ataque de desanonimización está disponible a continuación, cortesía de los investigadores de Hacker house.
TorBrowser decloak with WMV from Hacker Fantastic on Vimeo.
No hay comentarios:
Publicar un comentario