Home Prodotti Sicurezza Pericolo Java Web Start, come limitarlo
ProdottiSicurezza

Pericolo Java Web Start, come limitarlo

Forcepoint X-Labs hanno recentemente monitorato le campagne di distribuzione di malware che utilizzano la piattaforma Java.

I downloader di Java sono una minaccia nota da tempo, ma esiste almeno una funzionalità inesplorata della piattaforma che aiuta ad automatizzare il download e l’esecuzione del malware. Il protocollo JNLP, nato come semplice meccanismo per avviare applicazioni Java remote, viene attualmente sfruttato come strumento prediletto per eseguire automaticamente file Java dannosi.

Ma che cos’è nello specifico Java Web Start e perché è pericoloso?

Java Web Start o Java Network Launch Protocol – come spesso chiamato dai programmatori – è un protocollo che utilizza il linguaggio di markup XML ed è stato progettato al solo scopo di avviare automaticamente le applicazioni Java da remoto. Affinché funzioni, il file JNLP deve contenere un indirizzo host e un percorso JAR (Java application package) di destinazione da scaricare ed eseguire. Una volta che l’utente ha cliccato su un file JNLP, Java tenterà di raggiungere l’host descritto nella struttura XML, scaricare il pacchetto JAR specificato e, in caso di successo, eseguirlo. L’unico prerequisito per utilizzarlo è l’esistenza di Java Runtime Environment (JRE) sul PC locale.
Risulta, quindi, piuttosto ovvio che questa funzionalità rappresenti uno strumento perfetto per automatizzare il download e l’esecuzione di file dannosi, favorendo così il proliferare dei malware.

Le campagne spam che utilizzano un allegato JNLP, così com’è o all’interno di un archivio ZIP, hanno iniziato ad aumentare nelle ultime settimane. I messaggi, analizzati da Forcepoint X-Labs, sembrano arrivare direttamente dall’INPS, il cui nome e la cui autorevolezza, in questo caso, vengono utilizzati meramente come esca. È bene ricordare che l’INPS era già stato oggetto di cyber attacchi a inizio 2020, proprio nel periodo legato all’erogazione della CIG, in pieno lockdown.

 

 

 

 

 

 

Il testo della mail fasulla presenta anche il logo dell’INPS ma, guardando attentamente, sia l’indirizzo del mittente sia il corpo del messaggio sono scritti in modo maldestro, mentre l’allegato risulta fin da subito sospetto: aprendolo con un editor di testo, infatti, viene chiaramente rivelato l’indirizzo a un server C2

 

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Articoli correlati

IBM acquisisce HashiCorp per 6,4 miliardi di dollari

Acquisizioni Marcello Oddini -
L'acquisizione afforzerà la piattaforma cloud ibrida end-to-end, aumentando la gestione del ciclo di vita di applicazioni, infrastrutture e sicurezza, genererà sinergie in aree chiave come sicurezza dei dati e automazione IT ed espanderà il mercato totale indirizzabile di IBM, integrando offerte ibride e multi-cloud per affrontare un mercato in crescita, valutato a 1,1 trilioni di dollari
Continua a leggere

Snapdragon X Plus, ecco il nuovo chip per i PC AI di Qualcomm

Qualcomm
Qualcomm intende portare avanti l’innovazione nel settore dei pc con l'aggiunta della piattaforma Snapdragon X Plus
Continua a leggere

Lifenet Healthcare e Aruba Enterprise collaborano per l’eccellenza nel settore sanitario

Aruba Donato Corvi -
Lifenet Healthcare, gruppo sanitario privato con presenze in Lombardia, Piemonte, Emilia-Romagna, Toscana e Lazio, ha scelto Aruba Enterprise per rafforzare la sua infrastruttura IT
Continua a leggere
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche
iscriviti alla newsletter
© New Business Media Srl - Via Eritrea 21, 20157 Milano - Codice fiscale, Partita IVA e Iscrizione al Registro delle imprese di Milano: 08449540965.
Testata giornalistica registrata presso il Tribunale di Milano, nº 13602 del 15/12/2020.
css.php