Mercado fechado
  • BOVESPA

    104.466,24
    +3.691,67 (+3,66%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.856,92
    +849,76 (+1,70%)
     
  • PETROLEO CRU

    67,03
    +1,46 (+2,23%)
     
  • OURO

    1.769,50
    -14,80 (-0,83%)
     
  • BTC-USD

    56.923,35
    +275,12 (+0,49%)
     
  • CMC Crypto 200

    1.448,85
    +9,97 (+0,69%)
     
  • S&P500

    4.577,10
    +64,06 (+1,42%)
     
  • DOW JONES

    34.639,79
    +617,75 (+1,82%)
     
  • FTSE

    7.129,21
    -39,47 (-0,55%)
     
  • HANG SENG

    23.788,93
    +130,01 (+0,55%)
     
  • NIKKEI

    27.753,37
    -182,25 (-0,65%)
     
  • NASDAQ

    15.996,25
    +126,50 (+0,80%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,3812
    -0,0656 (-1,02%)
     

Arquivos com JavaScript são nova arma dos criminosos para instalar malware

·2 min de leitura

Criminosos digitais estão utilizando códigos JavaScripts escondidos em documentos simples de texto como a nova arma para a instalação de malwares. A prática utiliza serve como um distanciamento de golpes recentes, que utilizavam arquivos do Microsoft Office como um vetor que já começa a se tornar conhecido por softwares de segurança e administradores de rede.

O ataque tem rotina de entrega semelhante, com os bandidos usando e-mails fraudulentos que carregam um anexo responsável pelo download da praga e tentam se passar como contatos comerciais ou clientes em busca de informações. Eles abusam da forma como o Windows exibe arquivos desse tipo, ocultando o formato, para entregar um arquivo TEXTO.txt.js — como o final é escondido pelo sistema operacional, o usuário pode achar que este é um documento de texto comum.

Quando executado, entra em ação o RATDispenser, um loader em JavaScript que é o responsável por baixar um trojan de acesso remoto ao computador. Daí podem ser executadas diferentes explorações, que podem ir do roubo de dados à escalada de privilégios, dando aos atacantes acesso ao computador, tudo dependendo do grupo criminosos que realizou a disseminação dos e-mails.

<em>E-mails chegam disfarçados de propostas comerciais ou pedidos de clientes, com documento de extensão ocultada sendo o responsável por rodar script que instala malware (Imagem: Reprodução/HP)</em>
E-mails chegam disfarçados de propostas comerciais ou pedidos de clientes, com documento de extensão ocultada sendo o responsável por rodar script que instala malware (Imagem: Reprodução/HP)

De acordo com o time de pesquisas em ameaças da HP, responsável pelo alerta, a prática já foi realizada em associação com oito diferentes famílias de malware. Além disso, em 89% das execuções, softwares e rotinas de segurança não foram capazes de detectar e, principalmente, impedir o comportamento malicioso.

Na visão dos especialistas, o formato usado, o .js, é pouco comum, o que faz com que ele acabe escapando de rotinas tradicionais de checagem. Além disso, os criminosos apostam na má configuração de serviços de e-mail corporativo — eles podem ser configurados para bloquearem automaticamente anexos com extensões executáveis, mas poucos efetivamente fazem isso. Aos usuários, quando um e-mail chega, a ideia é que ele passou por essa verificação e, por isso, pode ser seguro.

O relatório da HP fala em ataques que vem ocorrendo ao longo dos últimos três meses, com diferentes famílias de malwares sendo utilizadas, também, por várias gangues diferentes. Em sua maioria, os ataques envolvem o roubo de credenciais ou o registro de dados digitados, com os alvos majoritariamente corporativos dando a entender que essa pode até ser uma etapa inicial para a comercialização de dados ou a realização de ataques de ransomware.

Além de configurações de bloqueio adequadas em softwares de segurança e serviços de e-mail, a recomendação dos especialistas envolve medidas específicas contra o mau uso do JavaScript. Um bom caminho é permitir a abertura, apenas, de scripts assinados, bem como desativar o recurso Windows Script Host (WSH) do sistema operacional para que os códigos fiquem impedidos de agir.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos