A Forcepoint, empresa global em cibersegurança, por meio de seu braço de pesquisas, o X-Labs, tem acompanhado campanhas emergentes de distribuição de malware que utilizam a plataforma Java. Os downloaders de Java são uma ameaça conhecida há um bom tempo, mas há pelo menos um recurso inexplorado da plataforma que ajuda a automatizar o download e a execução de malware: o Java Network Launch Protocol (JNLP). Ele foi concebido para ser um mecanismo simples para iniciar aplicativos Java remotos clicando duas vezes no equivalente a um arquivo Windows Link. Atualmente, está sendo aproveitado como uma nova maneira de executar automaticamente arquivos Java maliciosos.
O que é JNPL?
O Java Network Launch Protocol ou Java Web Start – como os programadores costumam se referir a ele – é um protocolo que usa a linguagem de marcação XML. Ele foi projetado com o único propósito de iniciar aplicativos Java automaticamente de um local remoto. Para que isso funcione, o arquivo JNLP deve conter um endereço de host e um caminho do pacote de aplicativo Java (JAR) de destino a ser baixado e executado. Depois que o usuário clica duas vezes em um arquivo JNLP, o Java tenta acessar o host descrito na estrutura XML, baixar o pacote JAR especificado e, se for bem-sucedido, executá-lo. O único pré-requisito é a existência do Java Runtime Environment (JRE) no PC local.
“É bastante óbvio que essa funcionalidade oferece uma oportunidade atraente para automatizar o download e a execução de um arquivo malicioso, afirma Luiz Faro, diretor de engenharia de sistemas da Forcepoint para América Latina.
As campanhas de spam mal-intencionados que utilizam um anexo JNLP – no estado em que se encontra ou dentro de um arquivo ZIP – começaram a aparecer nas últimas semanas. O X-Labs identificou mensagens que parecem vir do INPS (Istituto Nazionale della Previdenza Sociale), que é a principal entidade do sistema público de aposentadoria da Itália. Curiosamente, o site do INPS foi alvo de ataques no início de 2020, quando os cidadãos italianos começaram a se inscrever para receber benefícios; mas desta vez o órgão está sendo usado como isca, tamanha é a relevância da organização. Neste caso em específico, o malware encontrado é um cavalo de Tróia bancário, baseado na família de malware Gozi.
É sedutor que as pessoas verifiquem seu saldo e solicitem um reembolso abrindo o anexo, afinal, o logotipo do INPS está incluído. No entanto, olhando mais de perto o endereço do remetente, o corpo da mensagem escrita de maneira desajeitada e o anexo, torna-se fácil perceber que é suspeito. Abrir o anexo JNLP em um editor de texto revela claramente o endereço C2 do primeiro estágio.
Embora este exemplo específico de malware em uma ferramenta de lançamento de Java seja direcionado apenas a endereços IP italianos (acessar qualquer lugar que não seja um endereço IP italiano fará com que o servidor ignore a solicitação), a técnica não se limita a esta geografia. É natural que os cibercriminosos continuem a evoluir este ataque, logo podemos esperar ver diferentes iscas usando as mesmas técnicas JNLP para baixar malware.
A Forcepoint está alertando as organizações – a menos que dependam muito dele – para bloquear anexos de arquivo JNLP no nível do gateway para evitar a execução indesejada junto com suas consequências. Ter a funcionalidade de inicialização automática em aplicativos ou plataformas populares não significa necessariamente que eles são seguros para uso ou foram criados com a segurança em mente. Provavelmente, eles simplesmente não foram explorados por cibercriminosos ainda. Neste link é possível verificar se o Java está instalado em sua máquina.
“Se fizer a verificação, vale a pena denunciar para sua equipe de TI em caso positivo. Temos alertado sobre a natureza vulnerável do Java desde pelo menos 2013. É muito importante ter cuidado, como de costume, ao não clicar duas vezes em anexos de e-mail não solicitado, orienta Faro.
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo