Experții în securitate cibernetică au descoperit recent un atac surprinzător, în care site-ul Internet Archive este folosit ca metodă pentru a răspândi malware. Atacul începe cu un fișier JScript ascuns într-un e-mail de tip spam, care, odată deschis, declanșează o serie de acțiuni ascunse. Acest script apelează un alt script, de tip PowerShell, care se conectează la archive.org pentru a descărca o imagine inofensivă de tip PNG.
Aparent, imaginea este doar o fotografie, dar în realitate, datele malițioase sunt ascunse în culorile (pixelii) imaginii. Un program specializat, rulat în memoria computerului, extrage aceste date ascunse și le asamblează într-un fișier executabil de tip DLL. Această metodă evită detectarea de către majoritatea programelor antivirus tradiționale.
Odată asamblat, codul malițios se instalează pe computer și lansează un troian cu acces la distanță (Remcos), care se conectează la un server de control. Atacul este extrem de greu de detectat, deoarece traficul de date către archive.org este de obicei considerat sigur și nu atrage atenția sistemelor de securitate.
10 Sfaturi pentru a te Proteja de Atacurile cu Malware de Tip JScript
1. Instalează un antivirus cu protecție extinsă: Antivirusul tău tradițional, bazat pe semnături, poate avea dificultăți în a detecta acest tip de atac. Alege un software de securitate care folosește inteligența artificială și analiza comportamentală pentru a bloca programele care rulează în memoria computerului. Aceste soluții monitorizează anomaliile de sistem și pot detecta un atac chiar dacă nu recunosc codul malițios.
Pasul 1 (Evaluare): Alege o soluție de securitate de la un furnizor de încredere, cum ar fi ESET, Bitdefender sau Norton, care oferă protecție in-memory și capacități de detecție EDR (Endpoint Detection and Response).
Pasul 2 (Configurare): Asigură-te că antivirusul tău este mereu actualizat și are activată protecția în timp real. Verifică dacă software-ul tău de securitate oferă protecție împotriva atacurilor de tip fileless și a celor care rulează în memorie. Accesează setările avansate ale antivirusului și asigură-te că funcțiile de Host-based Intrusion Prevention System (HIPS) și de analiză script sunt active.
Pasul 3 (Validare): Verifică istoricul antivirusului pentru a te asigura că procesele suspecte sunt blocate. Configurează antivirusul pentru a scana fișierele atașate in e-mailuri, înainte de a le descărca sau a le deschide.
2. Fii extrem de precaut cu fișierele JScript (.js): Acest tip de fișier este adesea folosit pentru a iniția atacuri, deoarece poate rula cod periculos.
Pasul 1 (Evită descărcarea): Nu descărca fișiere cu extensia .js sau atașamente din e-mailuri de la surse necunoscute.
Pasul 2 (Verifică sursa): Dacă un fișier .js este absolut necesar, confirmă sursa sa de la o persoană de încredere sau de pe un site oficial.
Pasul 3 (Dezactivează executarea automată): Poți configura sistemul de operare pentru a nu rula fișiere JScript sau pentru a te întreba de fiecare dată înainte de a le deschide.
3. Activează funcția de "macro blocking" în Microsoft Office: Multe atacuri de tip malspam livrează fișiere JScript prin atașamente de tip Office.
Pasul 1 (Word): Intră în "File" > "Options" > "Trust Center" > "Trust Center Settings".
Pasul 2 (Opțiuni de macro): Selectează "Macro Settings" și alege "Disable all macros without notification".
Pasul 3 (Validare): Confirmă că această setare este aplicată pentru toate aplicațiile Office.
4. Menține sistemul de operare și aplicațiile actualizate: Patch-urile de securitate repara vulnerabilități care ar putea fi exploatate de atacatori pentru a rula cod malițios.
Pasul 1 (Windows): Intră în "Settings" (Setări) > "Update & Security" (Actualizare și securitate) > "Windows Update" și asigură-te că opțiunea de actualizare automată este activă.
Pasul 2 (macOS): Mergi la meniul Apple > "System Settings" (Setări sistem) > "Software Update" (Actualizare software).
Pasul 3 (Browser): Accesează meniul browserului tău (de obicei, trei puncte sau linii in coltul din dreapta sus) și caută "About [numele browserului]" pentru a verifica și a instala actualizările.
5. Folosește un firewall avansat: Un firewall de ultimă generație poate monitoriza traficul outbound (cererile de date de la computerul tău către internet) și poate bloca conexiunile suspecte.
Pasul 1 (Configurare): Configurează firewall-ul pentru a bloca traficul către servere de control și comandă (C2), chiar dacă traficul pare să vină de la un domeniu de încredere.
Pasul 2 (Monitorizare): Verifică istoricul firewall-ului pentru a detecta conexiuni suspecte sau încercări de a accesa domenii dubioase (ex. Duck DNS).
Pasul 3 (Aplicare): Asigură-te că firewall-ul tău nu permite accesul la IP-uri listate ca malițioase.
6. Fii sceptic cu privire la e-mailuri de tip spam: Principalul vector de atac este e-mailul de tip spam. Orice e-mail nesolicitat care conține atașamente sau linkuri trebuie tratat cu suspiciune.
Pasul 1 (Verifică sursa): Verifică adresa de e-mail a expeditorului pentru a te asigura că este legitimă.
Pasul 2 (Nu deschide atașamente): Nu deschide niciodată un atașament dintr-un e-mail de la o sursă necunoscută, chiar dacă pare a fi un document inofensiv (ex. PDF, Word).
Pasul 3 (Raportează): Utilizează funcția de raportare a providerului tău de e-mail pentru a marca mesajul ca spam.
7. Folosește o soluție de detectare și răspuns (EDR): Aceste soluții de securitate avansate monitorizează activitatea sistemului in detaliu și pot detecta comportamente malițioase, chiar dacă un program nu este recunoscut de semnăturile tradiționale.
Pasul 1 (Alegere): Alege o soluție EDR care se specializează în detectarea de atacuri in-memory (în memorie).
Pasul 2 (Instalare): Instalează soluția EDR și asigură-te că este configurată pentru a bloca automat procesele suspecte.
Pasul 3 (Verificare): Monitorizează rapoartele EDR pentru a identifica orice alertă de securitate .
8. Protejează-te de atacurile de tip living-off-the-land (LOTL): Atacatorii folosesc instrumente legitime (precum PowerShell) pentru a evita detecția. Această tehnică se numește LOTL.
Pasul 1 (Monitorizează): Monitorizează execuția de script și de comenzi (ex. PowerShell, WScript.Shell) pe computerul tău.
Pasul 2 (Restricționează): Restricționează utilizarea PowerShell și a altor instrumente legitime la nivel de utilizator.
Pasul 3 (Validează): Asigură-te că orice script PowerShell care rulează pe sistemul tău este semnat digital de un editor de încredere.
9. Folosește un proxy sau un serviciu VPN de încredere: Un proxy poate filtra traficul de rețea și poate bloca cererile către domenii asociate cu activități malițioase, chiar dacă aceste domenii sunt găzduite pe site-uri legitime.
Pasul 1 (Configurare): Configurează proxy-ul pentru a bloca domenii cunoscute ca fiind asociate cu troieni sau servere de control (C2).
Pasul 2 (Monitorizare): Monitorizează traficul de rețea pentru a detecta orice comunicare suspectă către un domeniu neașteptat.
Pasul 3 (Actualizare): Asigură-te că lista de domenii malițioase (blocklist) a proxy-ului tău este actualizată constant.
10. Implementează o politică de "whitelisting" pentru aplicații: Această metodă previne rularea oricărui program care nu este aprobat în prealabil. Este o măsură foarte sigură, dar necesită o configurare atentă.
Pasul 1 (Planificare): Creează o listă de aplicații aprobate care pot rula pe sistemul tău.
Pasul 2 (Configurare): Folosește instrumente precum AppLocker (pe Windows) sau macOS Gatekeeper pentru a bloca rularea oricărui program care nu se află pe lista ta de încredere.
Pasul 3 (Testare): Testează cu atenție politica pentru a te asigura că nu blochezi programele legitime de care ai nevoie.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro