we are developers

iMaster Developers

iMaster DevelopersPowered by:

DevSecOps

14 jun, 2016

Anexos de e-mail em JavaScript podem ter ransomware

Redação iMasters

Redação iMasters
Publicidade

Criminosos estão infectando computadores com um novo ransomware chamado RAA, que é escrito inteiramente em JavaScript e bloqueia os arquivos dos usuários com criptografia forte.

A maioria dos programas de malware para Windows é escrita em linguagens de programação compiladas, como C ou C++, e assumem a forma de arquivos executáveis portáteis, como .exe ou .dll. Outros usam script de linha de comando, como o PowerShell.

É raro ver malwares do lado do cliente escritos em linguagens baseadas na web, tais como JavaScript, que se destinam principalmente a ser interpretadas pelos navegadores. No entanto, o Windows Script Host, um serviço integrado ao Windows, pode executar nativamente arquivos .js e outros arquivos fora da caixa.

[awprm urls=https://imasters.com.br/infra/seguranca/aumento-de-violacoes-e-ramsomware-sao-tendencias-nas-ameacas-para-2016/,https://imasters.com.br/noticia/brasil-esta-entre-os-10-paises-onde-mais-surgem-virus-de-computador/]

Os criminosos têm utilizado essa técnica nos últimos meses, com a Microsoft alertando sobre um aumento nos anexos de e-mail maliciosos contendo arquivos JavaScript em abril. No mês passado, pesquisadores de segurança da ESET alertaram para uma onda de spam que distribui o ransomware Locky via anexos .js.

Nos dois casos, os arquivos JavaScript foram usados como “baixadores” de malware – scripts projetados para baixarem e instalarem um programa de malware tradicional. Entretanto, no caso do RAA, toda o ransomware é escrito em JavaScript.

De acordo com especialistas do fórum de suporte técnico BleepingComputer.com, o RAA depende da CryptoJS, uma biblioteca JavaScript legítima, para implementar sua rotina de criptografia. A implementação parece ser sólida e usa o algoritmo de criptografia AES-256.

Quando criptografa um arquivo, o RAA acrescenta uma extensão .locked ao nome original. O ransomware tem como alvo os seguintes tipos de arquivo: .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar e .csv.

Até o momento, as infecções pelo RAA informadas por usuários exibem uma nota de resgate em russo. Mas mesmo que a ameaça foque apenas usuários russos agora, é apenas uma questão de tempo até que ela seja distribuída mais amplamente e em outros idiomas.

Com informações de PC World

Redação iMasters
Saiba mais

Redação iMasters

Matérias especiais e reportagens conduzidas internamente pela Redação iMasters. Acompanhe no Twitter @imasters