Os pesquisadores de segurança da eSentire estão chamando a atenção para um novo método que os invasores podem usar para redirecionar profissionais de negócios para sites maliciosos.
Descrita como ataque Wiki-Slack, a nova técnica usa páginas modificadas da Wikipedia e depende de um erro de formatação quando a página é renderizada no Slack.
Para montar o ataque, um agente de ameaça precisaria primeiro selecionar um artigo da Wikipédia que possa ser de interesse para o alvo pretendido, depois modificá-lo para adicionar uma nota de rodapé legítima no final do primeiro parágrafo e, em seguida, compartilhar o artigo no Slack.
Embora a nota de rodapé em si não seja maliciosa, a forma como o Slack formata a visualização da página compartilhada resulta na renderização de um link que não é visível na Wikipedia na solução de colaboração.
“Depois que um profissional de negócios copia e cola aquela entrada da Wikipedia em um canal do Slack, o link malicioso é renderizado. Se a gramática em torno do link for bem elaborada, os usuários do Slack serão induzidos a clicar nele, levando-os a um site controlado pelo invasor, onde o malware baseado em navegador fica à espreita”, disse eSentire em um comunicado. observação documentando o problema.
Além da referência no final do primeiro parágrafo do artigo da Wikipédia, o ataque Wiki-Slack também exige que a primeira palavra do segundo parágrafo seja um domínio de topo (TLD) e que as duas condições apareçam nas primeiras 100 palavras do artigo.
“Isso fará com que o Slack administre incorretamente o espaço em branco entre o primeiro e o segundo parágrafo, gerando espontaneamente um novo link no Slack”, disseram os pesquisadores.
O ataque é essencialmente um jogo de números, o que significa que o invasor precisa modificar o maior número possível de páginas da Wikipédia e registrar domínios para elas, para garantir que possa eventualmente infectar um alvo de interesse.
Ademais, o eSentire alerta que o invasor pode aproveitar as estatísticas da Wikipédia para identificar páginas que geram alto tráfego e abusar delas para montar o ataque ao Wiki-Slack, observam os pesquisadores.
Para aumentar suas chances de sucesso, antes de montar o ataque, um ator de ameaça pode realizar pesquisas de fundo sobre o alvo, garantindo o uso do Slack, e pode aproveitar o ChatGPT ou um Large Language Model (LLM) semelhante para dimensionar o ataque, aponta eSentire. .
Uma técnica semelhante também pode ser usada com artigos do Medium, mas o uso de páginas da Wikipédia, que são mais confiáveis do que os blogs do Medium controlados pelo autor, apresenta maiores chances de sucesso, observaram os pesquisadores.
Para evitar tais ataques, as organizações são aconselhadas a aumentar a conscientização sobre os ataques baseados em navegador que levam a infecções por malware, empregar monitoramento de endpoints e construir resiliência cibernética em seus processos. A eSentire afirma que relatou os problemas identificados ao Slack.