Sophos: Ransomware er hoppet fra Word-dokumenter til JavaScript-filer

2 kommentarer.  Hop til debatten
Cyberkriminelle har ændret fremgangsmåde efter stærk sikkerhedsfokus på macro-malware i Office-dokumenter. Nu spredes ransomware gennem JavaScript-filer.
person
29. april 2016 kl. 14:36
errorÆldre end 30 dage
person
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Indsatsen mod macro-malware gemt i Office-filer har nedbragt antallet af succesfulde ransomware ved at sende inficerede dokumenter i mails. Til gengæld bruger de cyberkriminelle i stigende grad JavaScripts i stedet, oplyser sikkerhedsfirmaet Sophos i en meddelelse.

JavaScript-filerne sendes i ZIP-arkiver, og udstyres som standard af Windows med et simpelt tekstfil-ikon, når de pakkes ud. De skadelige filer udstyres yderligere med en ekstra - og falsk - filendelse.

Det betyder, at når Windows som vanligt skjuler filendelsen, kan malwaren fremstå med en falsk fil-endelse som for eksempel .txt eller .pdf.

I en browser holdes uønsket malware typisk i skak af den såkaldte Same Origin Policy, som sørger for, at scriptet kun kan hente filer fra den hjemmeside, den kører fra.

Artiklen fortsætter efter annoncen

Den sikkerhedsfeature hjælper i sagens natur ikke, når scriptet i stedet kører direkte på computeren i Windows Script Host. Det betyder ifølge Sophos, at filen samtidig oprette forbindelse til en server, hente malware og installere det lokalt.

Når de skadelige filer ikke umiddelbart opfanges af sikkerhedsscans, er det fordi bagmændene bruger JavaScript-fiflerier til at skjule det domæne, den gerne vil hente ransomware fra. I et eksempel udnytter hackerne funktionen String.fromCharCode til at lave en kodet version af domænet, hvor hvert tal erstattes med prædefineret stykke tekst.

2 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
2
Rune Jensen
1. maj 2016 kl. 13:16

Jeg ser ovenstående som foragt / hån mod brugeren. MS har i 40 år ikke formået at gøre noget som helst ved problemet.

Nu er det lang tid siden, jeg har haft focus på både Linux og Windows sikkerhed, men uanset, det bliver jo i sidste ende dekodet til et forståeligt domæne, og dér må det da være muligt at sætte ind. Det må også være her, man kan se, det kommer udefra. Der foretages jo en connection til en ekstern server. Så er det vel totalt ligegyldigt, hvor meget det så er kodet, når man ved selve connection kan se, det er noget udefra.

Mht. til selve Linux sikkerheden, er det så ikke netop sådan, at uanset hvad, så kan man ikke køre noget, som er hentet ned udefra med mindre man aktivt sætter execution bit? Jeg kan nemlig huske det var sådan i Ubuntu 10 (ret lang tid siden). Hvilket forvirrede mig en del, for jeg kom fra Vista, hvor det var ligegyldigt.

Hvad jeg er interesseret i at vide, er om det stadig er sådan i Ubuntu. Det er jeg nemlig ikke helt sikker på, det er?

  • more_vert
    • insert_linkKopier link
1
Carsten Olsen
30. april 2016 kl. 20:04

når scriptet i stedet kører direkte på computeren i Windows Script Host. Det betyder ifølge Sophos, at filen samtidig oprette forbindelse til en server, hente malware og installere det lokalt.

Texten slutter med "installere det lokalt" , jeg syntes det er lidt 80'er agtigt at en process der kører med user privilegier kan skrive i filesystemer samt OS. Herunder at det kan sætte "x" bit på en .bat textfil uden at brugeren aktivt gør noget. (På Linux: chmod +x super-app.bat )

Jeg ser ovenstående som foragt / hån mod brugeren. MS har i 40 år ikke formået at gøre noget som helst ved problemet.

  • more_vert
    • insert_linkKopier link