Crackers usam AJAX para fragmentar dados maliciosos, tornando-os difíceis de detectar
Pesquisadores de segurança da empresa americana M86 Security detectaram ataques que usam AJAX (Asynchronous JavaScript and XML) para fragmentar a carga em pequenos pedaços de código que são mais difíceis de detectar por programas antivírus e sistemas de prevenção de intrusão.
Uma vez que a carga entra dividida, um dos códigos é responsável por montar os vários pedaços novamente antes de executá-los. “A principal razão pela qual os autores de malware usam AJAX é a possibilidade de escrever páginas que parecem benignas e se tornam maliciosas apenas quando o conteúdo dinâmico é carregado”, diz Moshe Basanchig, pesquisador de segurança da M86.
Muitos mecanismos de filtragem monitoram o tráfego conforme ele passa pela interface de rede. No entanto, como no caso, quando há pedaços de códigos de aparência legítima, que só se tornam maliciosos quando combinados na memória do navegador, é muito mais difícil detectar o ataque nesta fase.
“Este ataque definitivamente tem suas vantagens: a carga dividida em vários pedaços evita a intercepção à medida que passa através do firewall”, afirma o analista de ameaças web, Bogdan Botezatu. Mas o analista garante que alguns antivírus podem detectar e bloquear o código quando ele é remontado na memória ou quando é executado.
Diferentes páginas encontradas pela M86 exploram vulnerabilidades nas versões não atualizadas do Flash Player e Internet Explorer. Logo, a dica de sempre: mantenha sempre os navegadores e plug-ins, como Flash Player, Adobe Reader ou Java, atualizados. O navegador é seu portal de acesso para o mundo, mas também é o canal de entrada de muitas ameaças à segurança. Além disso, é essencial evitar recursos web desconhecidos, como URLs incluídas em e-mails de spam. E sempre verificar como está a segurança das suas aplicações.
Tradução e adaptação do texto AJAX-based Web exploitation attacks detected in the wild, do InfoWorld.