В прошлом году наблюдалась активизация кибератак через электронную почту. Распространители зловредов вновь вернулись к хорошо зарекомендовавшему себя методу — внедрению вредоносных макросов в документы Word. В последнее время злоумышленники все чаще используют также файлы формата .js, запускающие JavaScript в зараженных клиентах, в основном для загрузки вредоносных программ с сайтов, контролируемых атакующими.

Ввиду интенсификации подобных скриптовых атак Google заявила, что в качестве ответной меры безопасности с 13 февраля начнет блокировать js-файлы, пересылаемые во вложениях на Gmail.

«Как и при прочих ограничениях на вложенные файлы, вы не сможете прикрепить файл .js и увидите предупреждение с объяснением причин, предусмотренное в продукте для таких случаев», — сказано в анонсе на сайте G Suite компании. Google уже блокирует более 30 типов файлов, пересылаемых средствами Gmail, в том числе .cmd, .exe, .jar, .lib, .scr и .vbs.

Принимая это решение, Google осознает, что интересы бизнеса могут требовать совместного пользования js-файлами, однако пересылка их в письмах будет запрещена. В качестве альтернативы пользователям предлагаются услуги Google Drive или других облачных хранилищ.

Gmail blocks

По словам Google, 13 февраля будет осуществлен лишь пробный запуск новой функции, в полную силу она должна заработать двумя неделями позже.

В настоящее время js-файлы, распространяемые спамерами по почтовым каналам, используются для доставки банковских троянцев, вымогательского ПО, зловредов-кликеров и программ принудительного показа рекламы.

Неделю назад Центр SANS по сетевым угрозам опубликовал предупреждение о новой email-кампании злоумышленников, ранее распространявших Cerber. На этот раз они использовали файлы .js, спрятанные в zip-вложениях, для загрузки из Интернета другого криптоблокера, Sage. Иногда вместо скриптового загрузчика в рамках этой киберкампании в zip-архиве оказывался документ Word с вредоносным макросом.

В сентябре ISC SANS тоже зафиксировал вредоносный спам с zip-вложениями, содержащими файл JavaScript. Эта email-кампания была нацелена на распространение кликеров Kovter и Miuref, а также модульного троянца Corebot. Последний примечателен тем, что имеет модульную архитектуру, и это позволило ему быстро превратиться из тривиального похитителя информации в полноценного банкера.

В биографии Locky тоже были случаи доставки посредством js-загрузок. Этот вымогатель наделал много шума в прошлом году своими атаками против медицинских учреждений США, Японии, Кореи и Таиланда.

Категории: Вредоносные программы, Кибероборона, Спам