Os riscos associados a scripts maliciosos em sites comprometidos

malicious_scriptsQuando falamos sobre ataques e ameaças que os usuários têm de enfrentar no dia-a-dia, tendemos a destacar aqueles que são mais ou menos previsíveis, tais como arquivos maliciosos enviados como anexos de e-mail. Apesar destas ameaças estarem ainda muito presentes (por exemplo, nas diferentes variantes de ransomware), os criminosos também utilizam muitos outros vetores de ataque. Alguns dos mais perigosos são os que envolvem scripts, uma vez que são de difícil detecção.

Como funciona um script malicioso?

Os scripts maliciosos são fragmentos de código que podem estar escondidos em sites legítimos, mas cuja segurança foi comprometida. Na realidade, representam a isca perfeita para as vítimas de que nada desconfiam, uma vez que estão visitando uma página em que confiam. Deste modo, os criminosos podem executar código malicioso nos sistemas dos usuários, explorando algumas das múltiplas vulnerabilidades nos navegadores, nos sistemas operacionais, ou em aplicativos de terceiros.

Se analisarmos alguns dos exemplos recentes, observamos que os cibercriminosos têm utilizado kits de exploits conhecidos para automatizarem os processos de infecção. O seu funcionamento é relativamente simples – eles comprometem a segurança de um site legítimo (ou então criam um site malicioso e posteriormente redirecionam os uusuários para outros locais) e instalam um kit de exploits. A partir desse momento, é possível automatizar a detecção e a exploração de vulnerabilidades nos computadores das vítimas.

Isto pode ser observado na disseminação de malware, onde os anúncios exibidos nos sites comprometidos têm código malicioso embutido. Se os usuários clicarem nos mesmos, irão permitir que os seus sistemas passem a ser controlados por cibercriminosos.

Neste momento, o código JavaScript, que se encontra geralmente oculto, é responsável pela transferência e execução de algo que é conhecido como payload e que consiste num fragmento de código malicioso capaz de explorar todas as vulnerabilidades existentes e infectar o computador do usuário com o malware escolhido pelo criminoso. Tudo isto se passa sem o conhecimento do usuário e representa um risco muito considerável quando se navega na Internet.

A razão pela qual a execução deste código é efetuada automaticamente e sem intervenção do internauta está relacionada com as permissões que são concedidas durante a configuração do sistema. Ainda hoje, o número de contas de usuário com direitos de administração em sistemas Windows continua a ser esmagadora, e isto é totalmente desnecessário para a execução das tarefas que efetuamos no dia-a-dia.

Ao combinarmos o que referimos acima com uma má configuração de quaisquer das medidas de segurança integradas ao próprio sistema Windows, como o UAC, passa a ser possível que a grande maioria dos scripts maliciosos funcionem sem quaisquer entraves em centenas de milhares de computadores.

Se os utilizadores configurassem esse recurso de segurança com um nível médio / alto, muitas destas infecções poderiam ser evitadas, uma vez que os usuários estariam conscientes da importância de lerem as janelas de alerta exibidas pelo sistema em vez de as fecharem de imediato ou, pior ainda, darem um clique no botão “OK”.

Como se proteger dos scripts maliciosos

Para evitar estes tipos de ataques, os usuários devem ter em mente que não existe nenhum site 100% seguro na internet e, consequentemente, são necessárias algumas medidas. Manter o sistema operacional atualizado, bem como os aplicativos que normalmente estão mais vulneráveis a estes ataques (especialmente navegadores, o flashplayer e o java) é crucial para garantir a segurança do seu computador.

Porém a prevenção nem sempre é eficaz e é muito importante que tenha instalada no seu computador uma solução de segurança que seja capaz de detectar este tipo de arquivos maliciosos – Não só os que utilizam Javascript, mas também os que usam PowerShell.

Conclusão

Sabemos que os scripts maliciosos têm sido utilizados por cibercriminosos ao longo de vários anos para espalharem diversos tipos de ameaças como trojans, ransomware ou bots. No entanto, atualmente, existem medidas de segurança adequadas que podem atenuar o impacto destes ataques de forma eficaz. A única coisa que precisa ser feita é configurar as medidas de segurança que podem protegê-lo contra esses tipos de ataques e pensar sempre antes de clicar em qualquer link ou botão virtual.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa matéria.

Fonte: Eset blog

Os comentários estão desativados.

%d blogueiros gostam disto: