scripts-maliciosos

Na hora de falar dos ataques e ameaças que os usuários enfrentam todos os dias, muitas vezes se dá ênfase naqueles que são mais ou menos previsíveis como, por exemplo, os arquivos maliciosos anexos em um email. Apesar de continuarem muito presentes (nos referimos as diferentes variantes de ransomware), existem muitos outros vetores de ataque usados pelos criminosos; talvez um dos mais perigosos sejam aqueles que usam scripts, pois normalmente são mais difíceis de detectar.

 

Saiba como funciona um script malicioso

São porções de código que podem se esconder em sites legítimos, cuja segurança foi comprometida e tornaram-se iscas perfeitas para as vítimas, que não irão suspeitar de nada, pois estão visitando um site confiável. Desta forma, os criminosos podem executar algum código malicioso nos sistemas dos usuários, aproveitando algumas das múltiplas vulnerabilidades que podem ter, tanto nos navegadores como no próprio sistema ou em aplicativos de terceiros.

Se olharmos para exemplos recentes podemos ver como há anos os criminosos virtuais estão usando Kits exploits para automatizar esses processos de infecção. O funcionamento é relativamente simples e consiste em comprometer a segurança de uma página web legítima (ou criar uma página web maliciosa e redirecioná-la de outros locais) e instalar algum dos kits de exploits existentes. A partir deste momento, você pode automatizar a detecção e exploração de vulnerabilidades, conforme se detectam nos usuários que visitam a página.

As campanhas de malvertising são um exemplo claro: as publicidades inseridas nos sites com código malicioso. Se um usuário dá clique, o cibercriminoso pode assumir o controle do dispositivo e executar vários ataques. Assim como foi o caso na Forbes.com, que teve de remover os anúncios maliciosos de oito páginas de seu site web, que permitiu a execução dos exploit kits Neutrino e Angler.

Nesse momento, o código JavaScript, que muitas vezes se encontra ofuscado, se encarrega de baixar e executar o que é conhecido como payload, que é nada mais do que um código malicioso capaz de aproveitar essas vulnerabilidades e infectar o sistema do usuário com o malware que o criminoso virtual tiver escolhido. Tudo isso é feito de forma quase imperceptível para o usuário, sendo considerado um grande risco na hora de navegar pela web.

O motivo pelo qual se consegue a execução desse tipo de código de forma automática e sem a intervenção do usuário está relacionado com as permissões que são autorizadas quando os sistemas são configurados. Ainda hoje, o número de contas de usuário com permissões de administrador em sistemas Windows continua sendo esmagadora, sendo isso totalmente desnecessário na maioria das situações no dia a dia.

Tudo isso, juntamente com a má configuração de alguma das medidas de segurança que incorpora o próprio sistema Windows, como o UAC, faz com que a grande maioria desses códigos maliciosos possam fazer "o que quiserem" com centenas de milhares de computadores todos os dias. No entanto, configurando uma camada de segurança no sistema a um nível médio/alto, é possível evitar muitas infecções desse tipo. Além disso, é importante que os usuários sejam mais conscientes sobre a importância de ler todas as janelas de alerta apresentadas pelo sistema operacional, evitando o risco de fechá-las ou, pior ainda, apenas clicando sobre o botão “Aceitar”.

 

Como proteger-se dos scripts maliciosos

Para evitar tais ataques, os usuários devem ter em conta que não há nenhum site 100% seguro na Internet e, por isso, é necessário tomar algumas medidas para proteger-se. A atualização do sistema operacional e daqueles aplicativos mais vulneráveis diante desses ataques (navegadores, Flash Player y Java, principalmente) resulta como crucial para mitigar esses ataques. No entanto, às vezes, isso não é suficiente e é necessário ter uma solução de segurança que seja capaz de detectar estes tipos de scripts maliciosos, e não apenas aos que usam JavaScript, mas também aqueles que utilizam PowerShell.

 

Conclusão

Sabemos que scripts maliciosos há anos são utilizados pelos cibercriminosos para propagar todo tipo de ameaça como cavalos de tróia, ransomware ou bots. No entanto, agora você conta com algumas medidas de segurança mais adequadas para, pelo menos, diminuir o alcance de tais ataques. Apenas é necessário um tempinho para configurar essas medidas que protegem você contra um ataque desse tipo.

 

Autor: Josep Albors, da ESET

Adaptação: Francisco de Assis Camurça, da ESET