Brasil,

Forcepoint alerta para ameaças distribuídas em Java

  • Crédito de Imagens:Divulgação - Escrito ou enviado por  Bruno Faria
  • SEGS.com.br - Categoria: Info & Ti
  • Imprimir

Companhia identificou campanhas de phishing/spams usando a previdência social da Itália como gancho

A Forcepoint, empresa líder global em cibersegurança, por meio de seu braço de pesquisas, o X-Labs, tem acompanhado campanhas emergentes de distribuição de malware que utilizam a plataforma Java. Os downloaders de Java são uma ameaça conhecida há um bom tempo, mas há pelo menos um recurso inexplorado da plataforma que ajuda a automatizar o download e a execução de malware: o Java Network Launch Protocol (JNLP). Ele foi concebido para ser um mecanismo simples para iniciar aplicativos Java remotos clicando duas vezes no equivalente a um arquivo Windows Link. Atualmente, está sendo aproveitado como uma nova maneira de executar automaticamente arquivos Java maliciosos.

O que é JNPL?

O Java Network Launch Protocol ou Java Web Start - como os programadores costumam se referir a ele - é um protocolo que usa a linguagem de marcação XML. Ele foi projetado com o único propósito de iniciar aplicativos Java automaticamente de um local remoto. Para que isso funcione, o arquivo JNLP deve conter um endereço de host e um caminho do pacote de aplicativo Java (JAR) de destino a ser baixado e executado. Depois que o usuário clica duas vezes em um arquivo JNLP, o Java tenta acessar o host descrito na estrutura XML, baixar o pacote JAR especificado e, se for bem-sucedido, executá-lo. O único pré-requisito é a existência do Java Runtime Environment (JRE) no PC local.

“É bastante óbvio que essa funcionalidade oferece uma oportunidade atraente para automatizar o download e a execução de um arquivo malicioso, afirma Luiz Faro, diretor de engenharia de sistemas da Forcepoint para América Latina.

As campanhas de spam mal-intencionados que utilizam um anexo JNLP - no estado em que se encontra ou dentro de um arquivo ZIP - começaram a aparecer nas últimas semanas. O X-Labs identificou mensagens que parecem vir do INPS (Istituto Nazionale della Previdenza Sociale), que é a principal entidade do sistema público de aposentadoria da Itália. Curiosamente, o site do INPS foi alvo de ataques no início de 2020, quando os cidadãos italianos começaram a se inscrever para receber benefícios; mas desta vez o órgão está sendo usado como isca, tamanha é a relevância da organização. Neste caso em específico, o malware encontrado é um cavalo de Tróia bancário, baseado na família de malware Gozi.

É sedutor que as pessoas verifiquem seu saldo e solicitem um reembolso abrindo o anexo, afinal, o logotipo do INPS está incluído. No entanto, olhando mais de perto o endereço do remetente, o corpo da mensagem escrita de maneira desajeitada e o anexo, torna-se fácil perceber que é suspeito. Abrir o anexo JNLP em um editor de texto revela claramente o endereço C2 do primeiro estágio.

Embora este exemplo específico de malware em uma ferramenta de lançamento de Java seja direcionado apenas a endereços IP italianos (acessar qualquer lugar que não seja um endereço IP italiano fará com que o servidor ignore a solicitação), a técnica não se limita a esta geografia. É natural que os cibercriminosos continuem a evoluir este ataque, logo podemos esperar ver diferentes iscas usando as mesmas técnicas JNLP para baixar malware.

A Forcepoint está alertando as organizações - a menos que dependam muito dele - para bloquear anexos de arquivo JNLP no nível do gateway para evitar a execução indesejada junto com suas consequências. Ter a funcionalidade de inicialização automática em aplicativos ou plataformas populares não significa necessariamente que eles são seguros para uso ou foram criados com a segurança em mente. Provavelmente, eles simplesmente não foram explorados por cibercriminosos ainda. Neste link é possível verificar se o Java está instalado em sua máquina.

“Se fizer a verificação, vale a pena denunciar para sua equipe de TI em caso positivo. Temos alertado sobre a natureza vulnerável do Java desde pelo menos 2013. É muito importante ter cuidado, como de costume, ao não clicar duas vezes em anexos de e-mail não solicitado, orienta Faro.

Sobre a Forcepoint

A Forcepoint, anteriormente conhecida como Websense ou Raytheon|Websense, é líder mundial em segurança cibernética e proteção de dados de usuários. As soluções Forcepoint baseadas em comportamento se adaptam aos riscos em tempo real e são transmitidas por uma plataforma de segurança convergente que protege os usuários da rede e o acesso à nuvem, impedindo que dados confidenciais saiam da rede corporativa e elimina as infrações causadas por pessoas internas. Sediada em Austin, Texas, a Forcepoint cria ambientes seguros e confiáveis para milhares de clientes empresariais e governamentais e seus funcionários em mais de 150 países.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

voltar ao topo

Adicionar comentário

Aja com responsabilidade aos SEUS COMENTÁRIOS, em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!

Security code Atualizar

Enviar