A Opera lançou o Paste Protect, um recurso de segurança criado para bloquear ataques no estilo ClickFix, que enganam usuários para que executem comandos maliciosos por meio de engenharia social.
O ClickFix é uma técnica amplamente usada em que a vítima é levada a copiar códigos ou comandos perigosos para a área de transferência e, em seguida, executá-los na interface de linha de comando.
Normalmente, o truque aparece como um processo de verificação ou como instruções para resolver algum problema.
Na prática, porém, tudo é montado para induzir a vítima a realizar ações arriscadas.
Os comandos são executados com os privilégios do próprio usuário, burlando defesas de segurança já existentes, e muitas vezes acabam levando à instalação de malware infostealer.
A técnica se tornou tão popular entre threat actors que a Apple recentemente introduziu um recurso de segurança voltado especificamente para detectar colagens arriscadas no Terminal e bloqueá-las antes que o usuário prossiga.
A abordagem da Opera com o Paste Protect é parecida.
O recurso bloqueia comandos perigosos antes que eles sejam copiados para a área de transferência do navegador.
O novo mecanismo de segurança aproveita o Hijack protection, lançado em 2021, que consegue detectar tentativas de aplicativos externos de substituir o conteúdo copiado, como URLs ou números de conta bancária, por alternativas maliciosas.
Ele também inclui um novo componente chamado Injection protection.
A Injection protection bloqueia comandos potencialmente perigosos antes que eles cheguem à área de transferência, independentemente de a ação ter sido iniciada pelo usuário ou por um site visitado.
Segundo a Opera, o sistema usa regras de detecção específicas para cada plataforma a fim de analisar o conteúdo copiado em busca de padrões comumente associados a scripts e comandos maliciosos, com suporte para Windows, macOS e Linux.
Quando o Paste Protect identifica conteúdo suspeito na área de transferência, ele bloqueia a cópia, exibe um aviso e mostra um indicador vermelho de segurança na barra de endereços do navegador.
“Se uma ameaça potencial for detectada, a ação de copiar é bloqueada automaticamente”, descreveu a Opera.
“Você verá um pop-up explicando o que aconteceu, e um ícone vermelho de alerta aparecerá na barra de endereços.”
Nesses casos, o usuário pode visualizar os 120 primeiros caracteres do script bloqueado e aprovar a cópia após um intervalo de 5 segundos.
Também será possível criar listas de permissão com sites confiáveis para reduzir o atrito causado por bloqueios repetidos do novo sistema de segurança da Opera.
“Se você realmente sabe o que está fazendo, por exemplo, se for um desenvolvedor que copia com frequência scripts ou comandos de fontes confiáveis como o GitHub, também pode definir sites confiáveis onde será permitido copiar scripts, selecionando ‘Always allow from this site’ no pop-up”, explicou a Opera.
O Paste Protect já vem ativado por padrão na versão mais recente do Opera, e o usuário pode gerenciá-lo em Configurações → Privacidade e Segurança → Paste Protect.
Como recomendação geral, usuários devem evitar executar comandos encontrados na internet que não entendam completamente e tratar esse tipo de solicitação com desconfiança.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...