Últimas notícias

Fique informado

Forcepoint alerta para ameaças distribuídas em Java

19/10/2020

Spotlight

ONLYOFFICE, plataforma colaborativa, apresenta sua estrutura de segurança de dados

Confira a entrevista na íntegra com Nadya Knyazeva, Gerente de Comunicação da ONLYOFFICE, a plataforma open source que possui mais de sete milhões de usuários no mundo

27/11/2020

Lei da Internet das Coisas segue para sanção presidencial e deve impulsionar o mercado de eIDs

Os equipamentos que utilizam a Internet precisam ser identificados para a autenticação precisa máquina a máquina e, em alguns casos, é primordial estarem blindados contra invasões hackers.

26/11/2020

Doutor Fabiano Menke Concede Entrevista Sobre a Evolução das Assinaturas Eletrônicas

Nesta entrevista Dr. Fabiano Menke fala sobre a Lei 14.063 de setembro de 2020 e sobre o Decreto 14.543 de novembro de 2020 sobre os tipos de assinaturas eletrônicas

25/11/2020

A certificação de plataformas de telemedicina para uso da assinatura digital

O uso de certificados digitais para assinatura de documentos clínicos é adotado no Brasil desde a primeira resolução do Conselho Federal de Medicina (CFM), em 2007

25/11/2020

Decreto 14.543/2020 regulamenta o artigo 5º da Lei 14.063/2020

O decreto 14.543/20 define alguns requisitos do artigo 5º Lei 14.063/2020.

16/11/2020

Forcepoint revela suas previsões de cibersegurança para 2019: interações confiáveis serão críticas para fomentar a inovação e o crescimento de empresas e governos

Especialistas em ciberespaço e equipes de pesquisa alertam sobre os riscos para a infraestrutura crítica e a inteligência nacional.

14/11/2018

Companhia identificou campanhas de phishing/spams em Java usando a previdência social da Itália como gancho 

A Forcepoint, empresa líder global em cibersegurança, por meio de seu braço de pesquisas, o X-Labs, tem acompanhado campanhas emergentes de distribuição de malware que utilizam a plataforma Java.

Os downloaders de Java são uma ameaça conhecida há um bom tempo, mas há pelo menos um recurso inexplorado da plataforma que ajuda a automatizar o download e a execução de malware: o Java Network Launch Protocol (JNLP).

Ele foi concebido para ser um mecanismo simples para iniciar aplicativos Java remotos clicando duas vezes no equivalente a um arquivo Windows Link. Atualmente, está sendo aproveitado como uma nova maneira de executar automaticamente arquivos Java maliciosos. 

O que é JNPL(Java Network Launch Protocol)? 

O Java Network Launch Protocol ou Java Web Start – como os programadores costumam se referir a ele – é um protocolo que usa a linguagem de marcação XML.

Ele foi projetado com o único propósito de iniciar aplicativos Java automaticamente de um local remoto. Para que isso funcione, o arquivo JNLP deve conter um endereço de host e um caminho do pacote de aplicativo Java (JAR) de destino a ser baixado e executado.

Depois que o usuário clica duas vezes em um arquivo JNLP, o Java tenta acessar o host descrito na estrutura XML, baixar o pacote JAR especificado e, se for bem-sucedido, executá-lo. O único pré-requisito é a existência do Java Runtime Environment (JRE) no PC local.  

Luiz Faro | Diretor de Engenharia de Sistemas
LATAM da Forcepoint

“É bastante óbvio que essa funcionalidade oferece uma oportunidade atraente para automatizar o download e a execução de um arquivo malicioso”, afirma Luiz Faro, diretor de engenharia de sistemas da Forcepoint para América Latina. 

As campanhas de spam mal-intencionados que utilizam um anexo JNLP – no estado em que se encontra ou dentro de um arquivo ZIP – começaram a aparecer nas últimas semanas.

O X-Labs identificou mensagens que parecem vir do INPS (Istituto Nazionale della Previdenza Sociale), que é a principal entidade do sistema público de aposentadoria da Itália. Curiosamente, o site do INPS foi alvo de ataques no início de 2020, quando os cidadãos italianos começaram a se inscrever para receber benefícios; mas desta vez o órgão está sendo usado como isca, tamanha é a relevância da organização.

Neste caso em específico, o malware encontrado é um cavalo de Tróia bancário, baseado na família de malware Gozi. 

É sedutor que as pessoas verifiquem seu saldo e solicitem um reembolso abrindo o anexo, afinal, o logotipo do INPS está incluído. No entanto, olhando mais de perto o endereço do remetente, o corpo da mensagem escrita de maneira desajeitada e o anexo, torna-se fácil perceber que é suspeito. Abrir o anexo JNLP em um editor de texto revela claramente o endereço C2 do primeiro estágio. 

Embora este exemplo específico de malware em uma ferramenta de lançamento de Java seja direcionado apenas a endereços IP italianos (acessar qualquer lugar que não seja um endereço IP italiano fará com que o servidor ignore a solicitação), a técnica não se limita a esta geografia.

É natural que os cibercriminosos continuem a evoluir este ataque, logo podemos esperar ver diferentes iscas usando as mesmas técnicas JNLP para baixar malware. 

A Forcepoint está alertando as organizações – a menos que dependam muito dele – para bloquear anexos de arquivo JNLP no nível do gateway para evitar a execução indesejada junto com suas consequências. Ter a funcionalidade de inicialização automática em aplicativos ou plataformas populares não significa necessariamente que eles são seguros para uso ou foram criados com a segurança em mente.

Provavelmente, eles simplesmente não foram explorados por cibercriminosos ainda. Neste link é possível verificar se o Java está instalado em sua máquina.  

“Se fizer a verificação, vale a pena denunciar para sua equipe de TI em caso positivo. Temos alertado sobre a natureza vulnerável do Java desde pelo menos 2013. É muito importante ter cuidado, como de costume, ao não clicar duas vezes em anexos de e-mail não solicitado”, orienta Faro.  

Forcepoint alerta para Shadow IT, a ameaça interna nas sombras após a pandemia

Dez dicas da Forcepoint para potencializar o home office sem riscos à cibersegurança

Três formas eficazes de uso do Java

Sobre a Forcepoint 

A Forcepoint, anteriormente conhecida como Websense ou Raytheon|Websense, é líder mundial em segurança cibernética e proteção de dados de usuários.

As soluções Forcepoint baseadas em comportamento se adaptam aos riscos em tempo real e são transmitidas por uma plataforma de segurança convergente que protege os usuários da rede e o acesso à nuvem, impedindo que dados confidenciais saiam da rede corporativa e elimina as infrações causadas por pessoas internas. Sediada em Austin, Texas, a Forcepoint cria ambientes seguros e confiáveis para milhares de clientes empresariais e governamentais e seus funcionários em mais de 150 países. 

Apresente suas soluções e serviços no Crypto ID! 

Nosso propósito é atender aos interesses dos nossos leitores, por isso, selecionamos muito bem os artigos e as empresas anunciantes. Conteúdo e anúncios precisam ser relevantes para o mercado da segurança da informação, criptografia e identificação digital. Se sua empresa é parte desse universo, baixe nosso Mídia Kit, escreva pra gente e faça parte do Portal Crypto ID!

ACESSE O MÍDIA KIT DO CRYPTO ID

contato@cryptoid.com.br  
+55 11 3881 0019