Um ataque watering hole é uma exploração de segurança na qual o invasor procura comprometer um grupo específico de usuários finais, infectando sites que os membros do grupo costumam visitar. O objetivo é infectar o computador do usuário-alvo e obter acesso à rede no local de trabalho do alvo.
O termo ataque de bebedouro vem da caça. Em vez de rastrear sua presa por uma longa distância, o caçador determina para onde a presa provavelmente irá, mais comumente para um corpo de água – o bebedouro – e o caçador espera lá. Quando a presa vem por vontade própria, muitas vezes com a guarda baixa, o caçador ataca.
A vítima alvo pode ser um indivíduo, uma organização ou um grupo de pessoas. O invasor traça o perfil de seus alvos – geralmente funcionários de grandes empresas, organizações de direitos humanos, grupos religiosos ou escritórios do governo – para determinar o tipo de site que eles frequentam. Geralmente, são painéis de mensagens ou sites de interesse geral populares entre o alvo pretendido.
Todavia os ataques Watering Hole sejam incomuns, eles representam uma ameaça considerável por serem difíceis de detectar e geralmente visam organizações altamente seguras por meio de seus funcionários, parceiros de negócios ou fornecedores conectados menos preocupados com a segurança. E, como podem violar várias camadas de segurança, podem ser extremamente destrutivos.
Esta técnica é considerada um tipo de ataque de engenharia social, que também são chamados de water-holing, um ataque de water hole ou um site estrategicamente comprometido.
Como funciona o ataque?
Um ataque de Watering Hole envolve uma cadeia de eventos iniciada por um invasor na tentativa de obter acesso à vítima. No entanto, o atacante não tem como alvo a vítima diretamente.
Primeiro, o invasor identifica um site ou serviço que a vítima pretendida já usa e com o qual está familiarizada. Geralmente, o site de destino tem segurança relativamente baixa, com alta frequência de visitas e ainda sendo popular entre a vítima pretendida.
Assim, o invasor então compromete o site de destino e injeta uma carga de código malicioso no site, geralmente na forma de JavaScript ou HyperText Markup Language (HTML).
Quando a vítima visita o site comprometido, o payload é acionado e inicia uma cadeia de exploração para infectar o computador da vítima. A carga útil pode ser automática ou o ataque pode fazer com que um prompt falso apareça informando ao usuário para executar uma ação adicional que baixará o código malicioso.
A cadeia de exploração pode ser uma já existente e bem conhecida ou uma nova exploração criada pelo invasor.
Depois que a carga é acionada no computador da vítima, o invasor pode acessar outros ativos na rede e usar esse computador para lançar um ataque de pivô para atingir outros objetivos.
Os objetivos são coletas de informações sobre a vítima, usar o computador da vítima como parte de uma rede de bots ou tentar explorar outros computadores na rede da vítima.
Visite CNSSI 4009-2015 para mais informações.
Fonte Imagem: Cybersecurity Glossary