Home Prodotti Sicurezza Pericolo Java Web Start, come limitarlo

Pericolo Java Web Start, come limitarlo

Forcepoint X-Labs hanno recentemente monitorato le campagne di distribuzione di malware che utilizzano la piattaforma Java.

I downloader di Java sono una minaccia nota da tempo, ma esiste almeno una funzionalità inesplorata della piattaforma che aiuta ad automatizzare il download e l’esecuzione del malware. Il protocollo JNLP, nato come semplice meccanismo per avviare applicazioni Java remote, viene attualmente sfruttato come strumento prediletto per eseguire automaticamente file Java dannosi.

Ma che cos’è nello specifico Java Web Start e perché è pericoloso?

Java Web Start o Java Network Launch Protocol – come spesso chiamato dai programmatori – è un protocollo che utilizza il linguaggio di markup XML ed è stato progettato al solo scopo di avviare automaticamente le applicazioni Java da remoto. Affinché funzioni, il file JNLP deve contenere un indirizzo host e un percorso JAR (Java application package) di destinazione da scaricare ed eseguire. Una volta che l’utente ha cliccato su un file JNLP, Java tenterà di raggiungere l’host descritto nella struttura XML, scaricare il pacchetto JAR specificato e, in caso di successo, eseguirlo. L’unico prerequisito per utilizzarlo è l’esistenza di Java Runtime Environment (JRE) sul PC locale.
Risulta, quindi, piuttosto ovvio che questa funzionalità rappresenti uno strumento perfetto per automatizzare il download e l’esecuzione di file dannosi, favorendo così il proliferare dei malware.

Le campagne spam che utilizzano un allegato JNLP, così com’è o all’interno di un archivio ZIP, hanno iniziato ad aumentare nelle ultime settimane. I messaggi, analizzati da Forcepoint X-Labs, sembrano arrivare direttamente dall’INPS, il cui nome e la cui autorevolezza, in questo caso, vengono utilizzati meramente come esca. È bene ricordare che l’INPS era già stato oggetto di cyber attacchi a inizio 2020, proprio nel periodo legato all’erogazione della CIG, in pieno lockdown.

 

 

 

 

 

 

Il testo della mail fasulla presenta anche il logo dell’INPS ma, guardando attentamente, sia l’indirizzo del mittente sia il corpo del messaggio sono scritti in modo maldestro, mentre l’allegato risulta fin da subito sospetto: aprendolo con un editor di testo, infatti, viene chiaramente rivelato l’indirizzo a un server C2

 

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche

css.php