arquivos-com-javascript-sao-nova-arma-dos-criminosos-para-instalar-malware

Arquivos com JavaScript são nova arma dos criminosos para instalar malware

Criminosos digitais estão utilizando códigos JavaScripts escondidos em documentos simples de texto como a nova arma para a instalação de malwares. A prática utiliza serve como um distanciamento de golpes recentes, que utilizavam arquivos do Microsoft Office como um vetor que já começa a se tornar conhecido por softwares de segurança e administradores de rede.

  • Ataques selecionados e fake news são tendências de ameaça no Brasil de 2022
  • Empresas devem chegar ao Ano Novo mais seguras, mas ameaças também devem crescer

O ataque tem rotina de entrega semelhante, com os bandidos usando e-mails fraudulentos que carregam um anexo responsável pelo download da praga e tentam se passar como contatos comerciais ou clientes em busca de informações. Eles abusam da forma como o Windows exibe arquivos desse tipo, ocultando o formato, para entregar um arquivo TEXTO.txt.js — como o final é escondido pelo sistema operacional, o usuário pode achar que este é um documento de texto comum.

Quando executado, entra em ação o RATDispenser, um loader em JavaScript que é o responsável por baixar um trojan de acesso remoto ao computador. Daí podem ser executadas diferentes explorações, que podem ir do roubo de dados à escalada de privilégios, dando aos atacantes acesso ao computador, tudo dependendo do grupo criminosos que realizou a disseminação dos e-mails.


Baixe nosso aplicativo para iOS e Android e acompanhe em seu smartphone as principais notícias de tecnologia em tempo real.

E-mails chegam disfarçados de propostas comerciais ou pedidos de clientes, com documento de extensão ocultada sendo o responsável por rodar script que instala malware (Imagem: Reprodução/HP)

De acordo com o time de pesquisas em ameaças da HP, responsável pelo alerta, a prática já foi realizada em associação com oito diferentes famílias de malware. Além disso, em 89% das execuções, softwares e rotinas de segurança não foram capazes de detectar e, principalmente, impedir o comportamento malicioso.

Na visão dos especialistas, o formato usado, o .js, é pouco comum, o que faz com que ele acabe escapando de rotinas tradicionais de checagem. Além disso, os criminosos apostam na má configuração de serviços de e-mail corporativo — eles podem ser configurados para bloquearem automaticamente anexos com extensões executáveis, mas poucos efetivamente fazem isso. Aos usuários, quando um e-mail chega, a ideia é que ele passou por essa verificação e, por isso, pode ser seguro.

O relatório da HP fala em ataques que vem ocorrendo ao longo dos últimos três meses, com diferentes famílias de malwares sendo utilizadas, também, por várias gangues diferentes. Em sua maioria, os ataques envolvem o roubo de credenciais ou o registro de dados digitados, com os alvos majoritariamente corporativos dando a entender que essa pode até ser uma etapa inicial para a comercialização de dados ou a realização de ataques de ransomware.

Além de configurações de bloqueio adequadas em softwares de segurança e serviços de e-mail, a recomendação dos especialistas envolve medidas específicas contra o mau uso do JavaScript. Um bom caminho é permitir a abertura, apenas, de scripts assinados, bem como desativar o recurso Windows Script Host (WSH) do sistema operacional para que os códigos fiquem impedidos de agir.

Leia a matéria no Canaltech.

Trending no Canaltech:

  • Garimpeiro procurava ouro mas acabou encontrando um meteorito ainda mais valioso
  • Veja os benefícios que todo MEI tem direito e pouca gente sabe
  • O Galaxy S21 vai valer a pena na Black Friday?
  • Samsung anuncia Galaxy A03 com grande bateria, câmera de 48 MP e mais
  • Linha Oppo Reno 7 é oficial com três modelos e cara de iPhone