A ofuscação do JavaScript se move para e-mails de phishing

Views: 178
0 0
Read Time:3 Minute, 20 Second

Os atacantes estão escondendo cargas maliciosas em e-mails de phishing através de uma técnica tradicionalmente usada para ocultar códigos maliciosos plantados em sites.

JavaScript, a onipresente linguagem de script usada em aplicativos da Web em todo o mundo, está se tornando um ingrediente-chave em campanhas de phishing que buscam plantar códigos maliciosos nos computadores das vítimas, mostra uma nova pesquisa.

Os ataques de phishing usando técnicas de ofuscação JavaScript aumentaram mais de 70% de novembro de 2019 a agosto de 2020, de acordo com o pesquisador-chefe da Akamai, Ou Katz.

Katz diz que a razão para o aumento desta técnica de ataque é simples. “O fato de o JavaScript ser um idioma de script que é executado no lado do cliente dá [aos invasores] a capacidade de criar conteúdo, mas somente uma vez que o conteúdo seja renderizado no navegador das vítimas em potencial, a página real será renderizada e será apresentada à vítima”, diz Katz. “Somente nesse momento você verá o site de phishing real pedindo credenciais ou outras informações pessoais.”

No primeiro de uma série de posts em sua pesquisa, ele disse que “conteúdo escapando”, embora não seja uma técnica sofisticada de ofuscação, é eficaz em esconder – ou ofuscar – o conteúdo malicioso de uma mensagem. Também é muito mais comumente usado em sites maliciosos do que em mensagens de e-mail de phishing ou golpe. É o uso crescente da técnica no e-mail que chamou a atenção de Katz.

JavaScript tem sido usado em técnicas de ofuscação bastante simples, mas a ofuscação está se tornando mais sofisticada, ele descobriu. Tome xor descriptografia, que ele está vendo em mais e mais campanhas. XOR (exclusivo ou) é uma técnica extraída da criptografia que torna o conteúdo menor ao criar um bloco de texto único para cada mensagem. O resultado é algo que não pode ser facilmente derrotado por simples técnicas anti-malware correspondentes à assinatura.

Katz, então, deu uma olhada mais de perto em campanhas específicas usando as técnicas de ofuscação JavaScript. Ele observa no segundo post no blog que as mensagens de e-mail únicas e maliciosas agora carregam o código JavaScript que usa várias técnicas de ofuscação e redirecionamento, incluindo camuflagem de URL, fuga de conteúdo e funções polimórficas ao mesmo tempo. Essas técnicas são “apenas a ponta do iceberg, já que técnicas mais complexas, incluindo enormes pedaços de código morto incorporado e anti-depuração, estão constantemente sendo usadas na natureza”, disse ele no post.

Ele disse ao Dark Reading que acredita que a ofuscação do JavaScript aumentará nos ataques de phishing por e-mail.

“Há um movimento de usar apenas e-mails como forma de propagar golpes de phishing em redes sociais e plataformas de mensagens e mensagens sociais para entregar muitos desses golpes”, diz ele.

“Quando você tenta distribuir ataques através das mídias sociais, então você está realmente usando o poder dessa plataforma para fazer um tipo muito rápido de distribuição que depende da confiabilidade das pessoas que os estão distribuindo.”

Como as técnicas estão sendo tão bem sucedidas, Katz diz que elas não se limitam a uma única organização criminosa ou área geográfica: elas estão sendo usadas em todo o mundo por uma grande variedade de atores de ameaças. E como eles podem vir de tantas fontes, e se esconder de tantas maneiras, Katz diz que a educação básica do usuário ainda pode ser uma das ferramentas mais poderosas para usar contra eles.

Começa, diz ele, lembrando aos usuários que uma mensagem de e-mail que parece boa demais para ser verdade provavelmente é. E se a URL parecer incomum, ou aparecer a partir de um local incomum em uma mensagem ou em uma página da Web, isso deve ser uma bandeira vermelha.

“Pare nesse ponto, pense duas vezes e tente descobrir se você precisa dar alguma informação pessoal.” Se é suspeito o suficiente para fazer você pensar, ele diz, então é quase certamente suspeito o suficiente para fazer você parar.

FONTE: DARK READING

Previous post Violação do GDPR da Experian deixa empresas lutando para entender ‘interesse legítimo’
Next post WordPress Patches 3-Year-Old High-Severity RCE Bug

Deixe um comentário