Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Despre scripturile malițioase de pe site-urile compromise și cum vă puteți proteja de ele

2016-06-27

Atunci când vorbim despre atacurile și amenințările la care utilizatorii trebuie să facă față în fiecare zi, oamenii deseori pun accent pe lucruri  mai mult sau mai puțin evidente de tipul  arhivelor malițioase trimise ca atașamente de e-mail. Chiar dacă aceste amenințări sunt încă foarte prezente (de exemplu, în diferitele variante de ransomaware), infractorii cibernetici folosesc de asemenea, mulți alți vectori de atac. Unele dintre cele mai periculoase metode de atac sunt cele care implică scripturi, deoarece acestea sunt dificil de detectat de către utilizatori.

Cum lucrează un script rău intenționat?

Scripturile rău intenționate sunt fragmente de cod care pot fi ascunse în site-uri legitime, a căror securitate a fost compromisă. Ele sunt momeala perfectă pentru victimele care tind să nu fie suspicioase, deoarece vizitează un site de încredere. Prin urmare, infractorii cibernetici pot executa un cod rău intenționat pe sistemele utilizatorilor prin exploatarea unora dintre multiplele vulnerabilități aflate în browsere, în sistemul în sine sau în aplicațiile terțe.

Dacă aruncăm o privire la exemple recente, vom vedea că infractorii cibernetici au folosit kit-uri de exploatare bine cunoscute de ani de zile pentru a automatiza acestor procese de infectare. Funcționarea lor este relativ simplă – acestea compromit securitatea unui site legitim (sau creează un site web rău intenționat și apoi redirecționează utilizatorii din alte locații către acesta) și instalează unul dintre kit-urile de exploatare existente. De atunci, detectarea și exploatarea vulnerabilităților din sistemele utilizatorilor care vizitează acel site, pot fi automatizate.

Acest lucru poate fi văzut în campaniile cu publicitate dăunătoare, unde anunțurile afișate pe site-uri web compromise au un cod rău intenționat încorporat în ele. În cazul în care sunt accesate, le permit infractorilor cibernetici să obțină controlul unui dispozitiv și să lanseze atacuri.

În acest moment, codul JavaScript, care este de obicei disimulat, este responsabil pentru descărcarea și executarea a ceea ce este cunoscut sub numele de încărcătură malițioasă (payload). Aceasta din urmă este doar o parte a unui cod malware capabil să exploateze aceste vulnerabilități și să infecteze sistemul utilizatorului cu secvențe malware, pe care infractorul le-a ales. Toate acestea trec aproape neobservate pentru utilizator și, astfel, reprezintă un risc considerabil atunci când navighează pe internet.

Motivul pentru care executarea unui astfel de cod se realizează automat și fără intervenția utilizatorului are mult de-a face cu permisiunile care sunt acordate în timpul configurării sistemului. Chiar și în prezent, numărul de conturi de utilizator cu drepturi de administrator pe sistemele de operare Windows este copleșitor, iar acest lucru este total inutil în cele mai multe situații din viața de zi cu zi.

Acest fapt, împreună cu configurația slabă a oricăreia dintre măsurile integrate de securitate pentru sistemul de operare Windows în sine, cum ar fi UAC (User Account Control), permit operarea majorității acestor scripturi rău intenționate, fără obstacole, pe sute de mii de calculatoare în fiecare zi.

Dacă utilizatorii ar configura această caracteristică de securitate la un nivel de securitate mediu / ridicat, multe dintre aceste infecții ar putea fi evitate, cu condiția ca utilizatorii să fie conștienți de importanța citirii ferestrelor de alertă afișate de sistem, în loc de a face greșeala de a le închide sau, mai rău, de a le activa prin butonul “OK”.

Cum să vă protejați de scripturile rău intenționate?

Pentru a preveni aceste tipuri de atacuri, utilizatorii trebuie să țină cont de faptul că nu există niciun site 100% sigur pe internet și, în consecință, trebuie să ia unele măsuri pentru a se proteja. Actualizarea sistemului de operare și a acelor aplicații care sunt cele mai vulnerabile la aceste atacuri (în special browserele web, Flash Player-ul și Java) este esențială pentru a le combate. Totuși, uneori, acest lucru nu este suficient și este necesar să existe o soluție de securitate, care să fie capabilă să detecteze aceste tipuri de scripturi rău intenționate – acest sfat este valabil nu numai pentru cei care folosesc JavaScript, dar, de asemenea și pentru cei care utilizează PowerShell.

Concluzie

Noi știm că scripturile rău intenționate au fost folosite de infractorii cibernetici de ani de zile pentru a răspândi tot felul de amenințări, cum ar fi troieni, coduri ransomware sau bots. Cu toate acestea, în prezent, există măsuri adecvate de securitate disponibile pentru a atenua – cel puțin – impactul acestor atacuri. Singurul lucru pe care trebuie să-l faceți este să stabiliți măsurile de securitate care vă pot proteja împotriva acestor tipuri de atacuri și să analizați foarte bine înainte de a da clic.

 

JOSEPH ALBORS
CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *