"Little Doctor", un gusano capaz de comprometer aplicaciones de chat basadas en JavaScript

Una de las charlas y herramientas más impresionantes de la décima edición de la conferencia de hacking Kiwicon en Wellington fue sin duda "Little Doctor", un gusano capaz de comprometer aplicaciones de chat basadas en JavaScript usando ataques inteligentes con propagación y capacidades de señuelo/decoy.


Los servicios basados en Electron, un framework JavaScript para aplicaciones de escritorio, o que contienen una vista web (webview) incrustada, están en problemas...
Rocket Chat publicó un parche 13 horas después de su divulgación y Ryver lo hizo en un día.  Por otro lado Slack utiliza webviews pero parece ser seguro.

El hacker australiano Shubham Shah, junto con Moloch de Bishop Fox, y su ex colega Matt Bryant, desarrollaron el framework y además encontraron un 0-day en Microsoft Azure Storage Explorer que publicaron al no tener respuesta de Microsoft después de 90 días.

"Éste es un gusano multi-plataforma mediante el cuál podemos robar archivos accediendo a las API de WebRTC y de Cordova", dijo Moloch. "Little Doctor está escrito de forma modular - todo lo que necesitas es tu propio módulo de propagación y puedes crear un gusano básicamente  en cualquier plataforma que desee". "Tan pronto como se inicia el programa se lanza un nuevo canal, se establece el tema en el código de explotación y comienza a buscar e invitar a personas".

Tienes el código en Github en https://github.com/infosec-au/little-doctor.

Puedes usarlo a través de un contenedor docker editando docker-compose.yml y ejecutando docker-compose up, o si "controlas" el servidor, simplemente colocando main.js. Por favor, úsalo con responsabilidad y sólo con propósitos educativos. Sé bueno ;)

Comentarios