Durante a conferência Black Hat, que acontece em Las Vegas na próxima semana, pesquisadores demonstrarão um software criado para roubar credenciais online de usuários de sites populares como Facebook, eBay e Google.

O ataque se baseia em um novo tipo de arquivo híbrido que se apresenta de maneira diferente a diversos programas. Ao publicar este arquivo em sites que permitem a publicação de imagens, os pesquisadores podem driblar sistemas de segurança e dominar as contas de internautas que usem a rede social.

¨Conseguimos criar um aplicativo em Java que para todos os intentos e propostas é uma imagem¨, afirmou John Heasman, vice-presidente de pesquisa da NGS Software.

Eles chamam este tipo de arquivo como Gifar, contração para GIF e Jar, extensões que designam imagens e arquivos em Java. Na Black Hat, os pesquisadores mostrarão aos presentes como criar um Gifar, omitindo alguns detalhes chave para prevenir seu uso imediato em ataques.

Para um servidor online, o arquivo parece como um GIF. No entanto, a máquina virtual de Java do navegador abrirá como um arquivo escrito na linguagem, para rodá-lo como um applet. Isto dá ao cracker a oportunidade de rodar o código Java no navegador da vítima. Por sua parte, o navegador trata o applet malicioso como se fosse escrito pelos desenvolvedores do site.

Crackers criariam um perfil em uma rede social e publicariam o Gifar como foto padrão. A vítima seria atraída ao perfil, que forçaria o navegador a abrir o Gifar. Neste ponto, o applet rodaria no browser, dando aos crackers acesso à conta da vítima na rede social. A única exigência é a vítima estar autenticada no serviço onde o ataque foi integrado.
 
O ataque poderia funcionar em qualquer site que permite que usuários publiquem arquivos, de comunidades como o Flickr ao Amazon.com, afirma o grupo. Como os Gifars são feitos em Java, podem ser abertos em muitos tipos de navegadores.

Entre as prevenções para o ataque, estão medidas dos sites para filtrar arquivos publicados classificados como híbridos e mudanças feitas pela Sun no desenvolvimento do Java. Os pesquisadores esperam que a Sun corrija a falha logo após a palestra no evento.