Depois de analisar mais de 10 mil amostras maliciosas de JavaScript, os analistas de segurança da Akamai concluíram que cerca de 25% das amostras maliciosas examinadas evitam a detecção usando técnicas de ofuscação da linguagem de programação.
Essas amostras maliciosas de JavaScript cobrem ameaças como dropper de malware, um tipo de trojan bancário projetado para instalar algum tipo de malware em um sistema; páginas de phishing; malware de cryptominer, software malicioso inserido para minerar criptomoedas; e golpistas.
Essa imensa porção indica claramente a rapidez com que os operadores de ameaças estão adotando técnicas de ofuscação para evitar a detecção. Mas, para fins maliciosos, a ofuscação de JavaScript nem sempre é usada exclusivamente.
Embora o Alexa.com tenha revelado que entre os 20 mil sites mais bem classificados, há 0,5% dos sites que contêm código JavaScript incorporado e ofuscado. Mas, isso não significa que todos esses sites sejam maliciosos, pois usam isso para manter seu código da web privado do público.
Agora, está ficando complicado porque o uso da ofuscação para fins legítimos significa que nem sempre o código pode ser sinalizado como malicioso. Embora não seja considerada uma técnica nova, o uso de ofuscação de JavaScript mostra claramente a rapidez com que os operadores de ameaças ainda estão adotando esse método para evitar a detecção.
Quando se trata de empacotadores (ou packers), nesse ponto, tudo se resume a compactar ou criptografar o código. Resumindo, é um método pelo qual os desenvolvedores compactam ou criptografam seu código para torná-lo ilegível ou não depurável.
Veja isso
Update derruba serviço da Akamai e isola clientes nos EUA
Akamai compra Guardicore por US$ 600 milhões
Os empacotadores têm uma funcionalidade única que será apresentada em breve na conferência SecTor 2021 (evento sobre cibersegurança que acontece entre 3 e 4 de novembro no Canadá), ao usar esse recurso, qualquer pessoa pode detectar o JavaScript antes que ele seja ofuscado. Isso significa que se qualquer código JavaScript servir a ameaças como phishing, dropper de malware ou golpistas, então ele pode ser facilmente detectado usando a funcionalidade exclusiva do packers.
Ao criar o perfil dos empacotadores e sua funcionalidade, os analistas de segurança da Akamai avaliaram 30 mil arquivos JavaScript benignos e maliciosos e verificaram que ao menos 25% dos arquivos maliciosos usavam uma das cinco funcionalidades do empacotador com perfil. A alta porcentagem de arquivos maliciosos sendo ofuscados mostra que os cibercriminosos continuam a adotar técnicas que os permitem escapar da detecção.
De acordo com o relatório, embora no caso de sites com classificação no 20.000 Top Website Ranking, esse cenário muda totalmente, já que retrata uma história diferente, pois eles usam a ofuscação para fins legítimos como para ocultar algumas de suas funcionalidades de código do lado do cliente; código ofuscado por um provedor terceirizado; ofuscação de informações confidenciais, como endereços de e-mail.
No estágio atual de ameaças, a disponibilidade de recursos ilimitados e a contagem de cada milissegundo desempenham papel crítico, uma vez que sempre há guerras em andamento entre cibercriminosos e as forças defensivas. Nesse caso, é preciso sempre manter os olhos abertos e ficar atento a tais técnicas ou métodos maliciosos usados pelos operadores da ameaça.
