Arquivos com JavaScript são nova arma dos criminosos para instalar malware

Arquivos com JavaScript são nova arma dos criminosos para instalar malware

Por Felipe Demartini | Editado por Claudio Yuge | 25 de Novembro de 2021 às 21h20
Nubelson Fernandes/Unsplash

Criminosos digitais estão utilizando códigos JavaScripts escondidos em documentos simples de texto como a nova arma para a instalação de malwares. A prática utiliza serve como um distanciamento de golpes recentes, que utilizavam arquivos do Microsoft Office como um vetor que já começa a se tornar conhecido por softwares de segurança e administradores de rede.

O ataque tem rotina de entrega semelhante, com os bandidos usando e-mails fraudulentos que carregam um anexo responsável pelo download da praga e tentam se passar como contatos comerciais ou clientes em busca de informações. Eles abusam da forma como o Windows exibe arquivos desse tipo, ocultando o formato, para entregar um arquivo TEXTO.txt.js — como o final é escondido pelo sistema operacional, o usuário pode achar que este é um documento de texto comum.

Quando executado, entra em ação o RATDispenser, um loader em JavaScript que é o responsável por baixar um trojan de acesso remoto ao computador. Daí podem ser executadas diferentes explorações, que podem ir do roubo de dados à escalada de privilégios, dando aos atacantes acesso ao computador, tudo dependendo do grupo criminosos que realizou a disseminação dos e-mails.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

E-mails chegam disfarçados de propostas comerciais ou pedidos de clientes, com documento de extensão ocultada sendo o responsável por rodar script que instala malware (Imagem: Reprodução/HP)

De acordo com o time de pesquisas em ameaças da HP, responsável pelo alerta, a prática já foi realizada em associação com oito diferentes famílias de malware. Além disso, em 89% das execuções, softwares e rotinas de segurança não foram capazes de detectar e, principalmente, impedir o comportamento malicioso.

Na visão dos especialistas, o formato usado, o .js, é pouco comum, o que faz com que ele acabe escapando de rotinas tradicionais de checagem. Além disso, os criminosos apostam na má configuração de serviços de e-mail corporativo — eles podem ser configurados para bloquearem automaticamente anexos com extensões executáveis, mas poucos efetivamente fazem isso. Aos usuários, quando um e-mail chega, a ideia é que ele passou por essa verificação e, por isso, pode ser seguro.

O relatório da HP fala em ataques que vem ocorrendo ao longo dos últimos três meses, com diferentes famílias de malwares sendo utilizadas, também, por várias gangues diferentes. Em sua maioria, os ataques envolvem o roubo de credenciais ou o registro de dados digitados, com os alvos majoritariamente corporativos dando a entender que essa pode até ser uma etapa inicial para a comercialização de dados ou a realização de ataques de ransomware.

Além de configurações de bloqueio adequadas em softwares de segurança e serviços de e-mail, a recomendação dos especialistas envolve medidas específicas contra o mau uso do JavaScript. Um bom caminho é permitir a abertura, apenas, de scripts assinados, bem como desativar o recurso Windows Script Host (WSH) do sistema operacional para que os códigos fiquem impedidos de agir.

Fonte: HP

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.