Sophos: Ransomware er hoppet fra Word-dokumenter til JavaScript-filer

Cyberkriminelle har ændret fremgangsmåde efter stærk sikkerhedsfokus på macro-malware i Office-dokumenter. Nu spredes ransomware gennem JavaScript-filer.

Indsatsen mod macro-malware gemt i Office-filer har nedbragt antallet af succesfulde ransomware ved at sende inficerede dokumenter i mails. Til gengæld bruger de cyberkriminelle i stigende grad JavaScripts i stedet, oplyser sikkerhedsfirmaet Sophos i en meddelelse.

Læs også: Omfattende rapport: It-folk bøvler rundt i en forstokket sikkerhedstankegang år efter år

JavaScript-filerne sendes i ZIP-arkiver, og udstyres som standard af Windows med et simpelt tekstfil-ikon, når de pakkes ud. De skadelige filer udstyres yderligere med en ekstra - og falsk - filendelse.

Det betyder, at når Windows som vanligt skjuler filendelsen, kan malwaren fremstå med en falsk fil-endelse som for eksempel .txt eller .pdf.

Læs også: Ny ransomware tager skridtet videre - krypterer harddisken og ikke filerne

I en browser holdes uønsket malware typisk i skak af den såkaldte Same Origin Policy, som sørger for, at scriptet kun kan hente filer fra den hjemmeside, den kører fra.

Den sikkerhedsfeature hjælper i sagens natur ikke, når scriptet i stedet kører direkte på computeren i Windows Script Host. Det betyder ifølge Sophos, at filen samtidig oprette forbindelse til en server, hente malware og installere det lokalt.

Læs også: Antivirus-virksomhed: Kraftig stigning i danske ransomware-angreb

Når de skadelige filer ikke umiddelbart opfanges af sikkerhedsscans, er det fordi bagmændene bruger JavaScript-fiflerier til at skjule det domæne, den gerne vil hente ransomware fra. I et eksempel udnytter hackerne funktionen String.fromCharCode til at lave en kodet version af domænet, hvor hvert tal erstattes med prædefineret stykke tekst.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Carsten Olsen

når scriptet i stedet kører direkte på computeren i Windows Script Host. Det betyder ifølge Sophos, at filen samtidig oprette forbindelse til en server, hente malware og installere det lokalt.

Texten slutter med "installere det lokalt" , jeg syntes det er lidt 80'er agtigt at en process der kører med user privilegier kan skrive i filesystemer samt OS. Herunder at det kan sætte "x" bit på en .bat textfil uden at brugeren aktivt gør noget. (På Linux: chmod +x super-app.bat )

Jeg ser ovenstående som foragt / hån mod brugeren. MS har i 40 år ikke formået at gøre noget som helst ved problemet.

  • 3
  • 0
#2 Rune Jensen

Jeg ser ovenstående som foragt / hån mod brugeren. MS har i 40 år ikke formået at gøre noget som helst ved problemet.

Nu er det lang tid siden, jeg har haft focus på både Linux og Windows sikkerhed, men uanset, det bliver jo i sidste ende dekodet til et forståeligt domæne, og dér må det da være muligt at sætte ind. Det må også være her, man kan se, det kommer udefra. Der foretages jo en connection til en ekstern server. Så er det vel totalt ligegyldigt, hvor meget det så er kodet, når man ved selve connection kan se, det er noget udefra.

Mht. til selve Linux sikkerheden, er det så ikke netop sådan, at uanset hvad, så kan man ikke køre noget, som er hentet ned udefra med mindre man aktivt sætter execution bit? Jeg kan nemlig huske det var sådan i Ubuntu 10 (ret lang tid siden). Hvilket forvirrede mig en del, for jeg kom fra Vista, hvor det var ligegyldigt.

Hvad jeg er interesseret i at vide, er om det stadig er sådan i Ubuntu. Det er jeg nemlig ikke helt sikker på, det er?

  • 0
  • 0
Log ind eller Opret konto for at kommentere