Stealthy Tool detecta Malware em JavaScript

Uma nova ferramenta de código aberto chamada VisibleV8 permite que os usuários rastreiem e registrem o comportamento dos programas JavaScript sem alertar os sites que os executam.

A ferramenta é executada no navegador Chrome e foi projetada para detectar programas maliciosos capazes de escapar dos sistemas de detecção de Malware existentes.

“Quando você acessa a maioria dos sites, seu navegador começa a executar os programas JavaScript do site imediatamente – e você tem pouca ou nenhuma ideia do que esse JavaScript está fazendo”, diz o co-autor Alexandros Kapravelos, professor assistente de ciência da computação na Universidade Estadual da Carolina do Norte.

“Os sistemas de detecção de Malware avançados de última geração dependem de fazer alterações no código JavaScript para ver como o código está sendo executado. Mas essa abordagem é facilmente detectada, permitindo que programas de Malware alterem seu comportamento, a fim de evitar serem identificados como maliciosos ”, diz ele.

“O VisibleV8 é executado no próprio navegador, registrando como o JavaScript é executado; não interage com o código e, como resultado, é muito mais difícil de detectar. “

O VisibleV8 salva todos os dados sobre como um site está usando JavaScript, criando um “perfil de comportamento” para o site. Os pesquisadores podem usar esse perfil e todos os dados de suporte para identificar sites mal-intencionados e as várias maneiras pelas quais o JavaScript pode comprometer navegadores da web e informações do usuário. Como o VisibleV8 consiste em apenas 600 linhas de código, dentre os milhões de linhas de código no Chrome, a ferramenta de software é relativamente fácil de manter atualizada. Essa é uma consideração importante, pois o Google atualiza o código do Chrome aproximadamente a cada seis semanas. O VisibleV8 também pode direcionar os comportamentos maliciosos mais prováveis ​​sem prejudicar o desempenho do navegador.

Malware Nodersok/Divergent afeta milhares de PCs

Novos malwares identificados pela Microsoft e Cisco Talos afetaram milhares de PCs nos Estados Unidos e na Europa e transformam sistemas em proxies para a realização de atividades maliciosas, disseram as empresas.

O que é o Nodersok?

A ameaça sem arquivo (fileless) – chamada Nodersok pela Microsoft e Divergent pela Cisco Talos – possui muitos de seus próprios componentes, mas também aproveita as ferramentas existentes para realizar seu trabalho sujo. O malware utiliza o Node.js que é usado por muitos aplicativos Web e o WinDivert, um utilitário de captura e manipulação de pacotes de rede, para transformar os sistemas em proxies involuntários.

Pesquisadores da Microsoft afirmam que, uma vez que a Nodersok transforma máquinas em proxies, as utiliza como

…um retransmissor para acessar outras entidades da rede (sites, servidores C&C, máquinas comprometidas etc.), o que lhes permite realizar atividades maliciosas furtivas…

disse a empresa. em uma postagem do blog.

Os pesquisadores do Cisco Talos, por outro lado, disseram que os proxies criados pelo Divergent são usados ​​para realizar fraudes por clique. Além disso, o malware tem características semelhantes às observadas em outros malware de fraude de clique, como o Kovter, informou a empresa em um post no blog.

Como o ataque funciona?

A infecção por Nodersok é mais ou menos um ataque de dois estágios que baixa vários componentes no PC de um usuário. Os sistemas são afetados inicialmente quando um usuário executa um arquivo HTA como um download do navegador, clicando nele ou navegando em um anúncio malicioso, de acordo com a Microsoft.

O código JavaScript no arquivo HTA baixa um componente do segundo estágio na forma de outro arquivo JavaScript ou um arquivo XSL que contém o código JavaScript. Esse componente inicia um comando do PowerShell oculto dentro de uma variável de ambiente e inicia instâncias adicionais do PowerShell, de acordo com a Microsoft.

Os comandos do PowerShell baixam e executam componentes criptografados que, entre outras coisas, tentam desativar o Windows Defender Antivirus e o Windows Update e iniciam um código de shell binário que tenta elevar privilégios na máquina infectada. A carga final do malware é um módulo JavaScript escrito na estrutura do Node.js. que pode transformar a máquina em um proxy, disse a Microsoft.

Como evitar

Para evitar a infecção, a Microsoft está aconselhando as pessoas a não executarem arquivos HTA encontrados em seus sistemas, especialmente aqueles que não se lembram de baixar ou cuja origem não conseguem identificar, informou a empresa.

Outra opção é utilizar programas de antivírus que estejam preparados para reconhecer e remover este tipo de ameaça. Segundo o pessoal da Microsoft o próprio Windows defender está apto a fazer isso, então podemos ficar seguro que a maioria dos antivírus também esta 😊!

Fonte: threatpost.com

JavaScript é utilizado na criação de malwares

De acordo com analistas da Kaspersky, empresa de segurança contra malwares e ataques hacker, o aumento nas tentativas de ameaças do tipo na América Latina de janeiro a agosto de 2017 foi de 59% em relação ao ano passado.

Fábio Assolini, analista de segurança, diz que entre 1º de janeiro e 31 de agosto de 2017 a Kaspersky detectou 677 milhões de ameaças digitais na América Latina. Um crescimento em relação a 2016, quando 398 milhões de ameaças foram detectadas no ano inteiro, decorre da popularização de computadores e celulares na região e do barateamento da conexão à Internet, o que aumenta o número de alvos em potencial e, consequentemente, o interesse de quem desenvolve esse tipo de software malicioso.

O Brasil é palco de 53% dos ataques na região, enquanto o segundo colocado, México, responde por 17% do total. Proporcionalmente, ou seja, considerando o total de usuários em relação ao número de ataques, ainda ficamos à frente dos outros países, respondendo por 30% do total. O país também se destaque como berço desses ataques, hospedando 84% de sites e outros recursos necessários à aplicação de golpes na América Latina.

Novos tipos de ataque

Os tipos de ataque variam, acompanhando mudanças tecnológicas e comportamentais. Assolini explica que os executados via web, ou seja, através de sites maliciosos, têm confiado no JavaScript para serem executados.

O JavaScript substituiu o Java e o Flash como preferidas pelos criminosos digitais. Essas duas tecnologias já são legadas e os navegadores modernos desativam conteúdo criado para elas por padrão. Hoje, elementos em Java ou Flash precisam ser clicados para serem ativados, o que diminui consideravelmente a eficiência dos ataques.

“O JavaScript é essencial para navegar na Internet hoje. Se desativá-lo, nada vai funcionar”, explica Assolini. Recentemente, uma desenvolvedora alemã tentou acessar 20 sites populares com o JavaScript desativado. O resultado foi desastroso, comprovando o ponto do especialista. As ameaças são capazes de provocar ataques de ataques chamados “phishing”, injetar publicidade de terceiros e ocasionar ataques de ransomware.

Além das ameaças online, a Kaspersky trabalha com outras duas classificações: as que se disseminam por e-mail, onde predominam o JavaScript e documentos PDF infectados baixáveis, e as que se propagam por meios offline, que compreendem infecções por pen drives USB e disseminados em redes corporativas.

Além das ameaças online, a Kaspersky trabalha com outras duas classificações: as que se disseminam por e-mail, onde predominam o JavaScript e documentos PDF infectados baixáveis, e as que se propagam por meios offline, que compreendem infecções por pen drives USB e disseminados em redes corporativas.

Smartphones

Os smartphones atraem cada vez mais a atenção dos criminosos digitais e requerem cuidados especiais. O grande número de ataques, 931 mil entre os clientes latino-americanos da Kaspersky só nos oito primeiros meses de 2017, combinado às facilidades nas transações financeiras proporcionadas pelos aplicativos, ligaram um sinal de alerta entre os especialistas.

Thiago Marques, analista de segurança da Kaspersky, chamou a atenção para o WhatsApp como vetor de ataque. Os criminosos, segundo ele, exploram temas relevantes — do furacão Irma ao FGTS — para aumentarem o apelo dos ataques. Esses golpes, em geral, capturam o número de telefone da vítima para inscrevê-la em serviços premium, que cobram valores pequenos que são revertidos a eles. Outra parcela considerável das ameaças mais populares é do tipo adware, ou seja, após instaladas, passam a veicular anúncios intrusivos que se revertem em dinheiro fácil aos criminosos.