Últimas notícias

Fique informado

Forcepoint alerta para ameaças distribuídas em Java

19 de outubro de 2020

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Forcepoint revela suas previsões de cibersegurança para 2019: interações confiáveis serão críticas para fomentar a inovação e o crescimento de empresas e governos

Especialistas em ciberespaço e equipes de pesquisa alertam sobre os riscos para a infraestrutura crítica e a inteligência nacional.

14 de novembro de 2018

Companhia identificou campanhas de phishing/spams em Java usando a previdência social da Itália como gancho 

A Forcepoint, empresa líder global em cibersegurança, por meio de seu braço de pesquisas, o X-Labs, tem acompanhado campanhas emergentes de distribuição de malware que utilizam a plataforma Java.

Os downloaders de Java são uma ameaça conhecida há um bom tempo, mas há pelo menos um recurso inexplorado da plataforma que ajuda a automatizar o download e a execução de malware: o Java Network Launch Protocol (JNLP).

Ele foi concebido para ser um mecanismo simples para iniciar aplicativos Java remotos clicando duas vezes no equivalente a um arquivo Windows Link. Atualmente, está sendo aproveitado como uma nova maneira de executar automaticamente arquivos Java maliciosos. 

O que é JNPL(Java Network Launch Protocol)? 

O Java Network Launch Protocol ou Java Web Start – como os programadores costumam se referir a ele – é um protocolo que usa a linguagem de marcação XML.

Ele foi projetado com o único propósito de iniciar aplicativos Java automaticamente de um local remoto. Para que isso funcione, o arquivo JNLP deve conter um endereço de host e um caminho do pacote de aplicativo Java (JAR) de destino a ser baixado e executado.

Depois que o usuário clica duas vezes em um arquivo JNLP, o Java tenta acessar o host descrito na estrutura XML, baixar o pacote JAR especificado e, se for bem-sucedido, executá-lo. O único pré-requisito é a existência do Java Runtime Environment (JRE) no PC local.  

Luiz Faro | Diretor de Engenharia de Sistemas
LATAM da Forcepoint

“É bastante óbvio que essa funcionalidade oferece uma oportunidade atraente para automatizar o download e a execução de um arquivo malicioso”, afirma Luiz Faro, diretor de engenharia de sistemas da Forcepoint para América Latina. 

As campanhas de spam mal-intencionados que utilizam um anexo JNLP – no estado em que se encontra ou dentro de um arquivo ZIP – começaram a aparecer nas últimas semanas.

O X-Labs identificou mensagens que parecem vir do INPS (Istituto Nazionale della Previdenza Sociale), que é a principal entidade do sistema público de aposentadoria da Itália. Curiosamente, o site do INPS foi alvo de ataques no início de 2020, quando os cidadãos italianos começaram a se inscrever para receber benefícios; mas desta vez o órgão está sendo usado como isca, tamanha é a relevância da organização.

Neste caso em específico, o malware encontrado é um cavalo de Tróia bancário, baseado na família de malware Gozi. 

É sedutor que as pessoas verifiquem seu saldo e solicitem um reembolso abrindo o anexo, afinal, o logotipo do INPS está incluído. No entanto, olhando mais de perto o endereço do remetente, o corpo da mensagem escrita de maneira desajeitada e o anexo, torna-se fácil perceber que é suspeito. Abrir o anexo JNLP em um editor de texto revela claramente o endereço C2 do primeiro estágio. 

Embora este exemplo específico de malware em uma ferramenta de lançamento de Java seja direcionado apenas a endereços IP italianos (acessar qualquer lugar que não seja um endereço IP italiano fará com que o servidor ignore a solicitação), a técnica não se limita a esta geografia.

É natural que os cibercriminosos continuem a evoluir este ataque, logo podemos esperar ver diferentes iscas usando as mesmas técnicas JNLP para baixar malware. 

A Forcepoint está alertando as organizações – a menos que dependam muito dele – para bloquear anexos de arquivo JNLP no nível do gateway para evitar a execução indesejada junto com suas consequências. Ter a funcionalidade de inicialização automática em aplicativos ou plataformas populares não significa necessariamente que eles são seguros para uso ou foram criados com a segurança em mente.

Provavelmente, eles simplesmente não foram explorados por cibercriminosos ainda. Neste link é possível verificar se o Java está instalado em sua máquina.  

“Se fizer a verificação, vale a pena denunciar para sua equipe de TI em caso positivo. Temos alertado sobre a natureza vulnerável do Java desde pelo menos 2013. É muito importante ter cuidado, como de costume, ao não clicar duas vezes em anexos de e-mail não solicitado”, orienta Faro.  

Forcepoint alerta para Shadow IT, a ameaça interna nas sombras após a pandemia

Dez dicas da Forcepoint para potencializar o home office sem riscos à cibersegurança

Três formas eficazes de uso do Java

Sobre a Forcepoint 

A Forcepoint, anteriormente conhecida como Websense ou Raytheon|Websense, é líder mundial em segurança cibernética e proteção de dados de usuários.

As soluções Forcepoint baseadas em comportamento se adaptam aos riscos em tempo real e são transmitidas por uma plataforma de segurança convergente que protege os usuários da rede e o acesso à nuvem, impedindo que dados confidenciais saiam da rede corporativa e elimina as infrações causadas por pessoas internas. Sediada em Austin, Texas, a Forcepoint cria ambientes seguros e confiáveis para milhares de clientes empresariais e governamentais e seus funcionários em mais de 150 países.