;(function() { window.createMeasureObserver = (measureName) => { var markPrefix = `_uol-measure-${measureName}-${new Date().getTime()}`; performance.mark(`${markPrefix}-start`); return { end: function() { performance.mark(`${markPrefix}-end`); performance.measure(`uol-measure-${measureName}`, `${markPrefix}-start`, `${markPrefix}-end`); performance.clearMarks(`${markPrefix}-start`); performance.clearMarks(`${markPrefix}-end`); } } }; /** * Gerenciador de eventos */ window.gevent = { stack: [], RUN_ONCE: true, on: function(name, callback, once) { this.stack.push([name, callback, !!once]); }, emit: function(name, args) { for (var i = this.stack.length, item; i--;) { item = this.stack[i]; if (item[0] === name) { item[1](args); if (item[2]) { this.stack.splice(i, 1); } } } } }; var runningSearch = false; var hadAnEvent = true; var elementsToWatch = window.elementsToWatch = new Map(); var innerHeight = window.innerHeight; // timestamp da última rodada do requestAnimationFrame // É usado para limitar a procura por elementos visíveis. var lastAnimationTS = 0; // verifica se elemento está no viewport do usuário var isElementInViewport = function(el) { var rect = el.getBoundingClientRect(); var clientHeight = window.innerHeight || document.documentElement.clientHeight; // renderizando antes, evitando troca de conteúdo visível no chartbeat-related-content if(el.className.includes('related-content-front')) return true; // garante que usa ao mínimo 280px de margem para fazer o lazyload var margin = clientHeight + Math.max(280, clientHeight * 0.2); // se a base do componente está acima da altura da tela do usuário, está oculto if(rect.bottom < 0 && rect.bottom > margin * -1) { return false; } // se o topo do elemento está abaixo da altura da tela do usuário, está oculto if(rect.top > margin) { return false; } // se a posição do topo é negativa, verifica se a altura dele ainda // compensa o que já foi scrollado if(rect.top < 0 && rect.height + rect.top < 0) { return false; } return true; }; var asynxNextFreeTime = () => { return new Promise((resolve) => { if(window.requestIdleCallback) { window.requestIdleCallback(resolve, { timeout: 5000, }); } else { window.requestAnimationFrame(resolve); } }); }; var asyncValidateIfElIsInViewPort = function(promise, el) { return promise.then(() => { if(el) { if(isElementInViewport(el) == true) { const cb = elementsToWatch.get(el); // remove da lista para não ser disparado novamente elementsToWatch.delete(el); cb(); } } }).then(asynxNextFreeTime); }; // inicia o fluxo de procura de elementos procurados var look = function() { if(window.requestIdleCallback) { window.requestIdleCallback(findByVisibleElements, { timeout: 5000, }); } else { window.requestAnimationFrame(findByVisibleElements); } }; var findByVisibleElements = function(ts) { var elapsedSinceLast = ts - lastAnimationTS; // se não teve nenhum evento que possa alterar a página if(hadAnEvent == false) { return look(); } if(elementsToWatch.size == 0) { return look(); } if(runningSearch == true) { return look(); } // procura por elementos visíveis apenas 5x/seg if(elapsedSinceLast < 1000/5) { return look(); } // atualiza o último ts lastAnimationTS = ts; // reseta status de scroll para não entrar novamente aqui hadAnEvent = false; // indica que está rodando a procura por elementos no viewport runningSearch = true; const done = Array.from(elementsToWatch.keys()).reduce(asyncValidateIfElIsInViewPort, Promise.resolve()); // obtém todos os elementos que podem ter view contabilizados //elementsToWatch.forEach(function(cb, el) { // if(isElementInViewport(el) == true) { // // remove da lista para não ser disparado novamente // elementsToWatch.delete(el); // cb(el); // } //}); done.then(function() { runningSearch = false; }); // reinicia o fluxo de procura look(); }; /** * Quando o elemento `el` entrar no viewport (-20%), cb será disparado. */ window.lazyload = function(el, cb) { if(el.nodeType != Node.ELEMENT_NODE) { throw new Error("element parameter should be a Element Node"); } if(typeof cb !== 'function') { throw new Error("callback parameter should be a Function"); } elementsToWatch.set(el, cb); } var setEvent = function() { hadAnEvent = true; }; window.addEventListener('scroll', setEvent, { capture: true, ive: true }); window.addEventListener('click', setEvent, { ive: true }); window.addEventListener('resize', setEvent, { ive: true }); window.addEventListener('load', setEvent, { once: true, ive: true }); window.addEventListener('DOMContentLoaded', setEvent, { once: true, ive: true }); window.gevent.on('allJSLoadedAndCreated', setEvent, window.gevent.RUN_ONCE); // inicia a validação look(); })();
  • AssineUOL
Topo

Até o James Webb: hackers usam imagem do telescópio para espalhar malware

Imagem do telescópio James Webb retrata o cluster de galáxias conhecida como SMACS 0723, em um dos retratos mais profundos já feitos do Universo - Divulgação/NASA, ESA, CSA e STScI
Imagem do telescópio James Webb retrata o cluster de galáxias conhecida como SMACS 0723, em um dos retratos mais profundos já feitos do Universo Imagem: Divulgação/NASA, ESA, CSA e STScI

Simone Machado*

Colaboração para Tilt, em São José do Rio Preto (SP)

31/08/2022 12h35Atualizada em 19/09/2022 18h06

Pesquisadores descobriram que hackers estão usando uma imagem registrada pelo telescópio James Webb, mais novo observatório espacial, para espalhar malware (tipo de programa criado para causar danos a um computador ou rede). A informação foi divulgada esta semana em um comunicado de segurança emitido pela empresa de tecnologia Securonix Threat.

A imagem usada para ocultar o sistema malicioso foi divulgada em julho deste ano e refere-se ao aglomerado de galáxias conhecido como SMACS 0723. Segundo a companhia, a ameaça virtual é baseada em Golang, linguagem de programação que está ganhando popularidade entre hackers porque é multiplataforma (ou seja, é compatível com Windows, Linux, Mac).

Golang oferece ainda maior resistência à engenharia reversa e à análise — estratégias que poderiam ser usadas para identificar como o ataque acontece e aumentar a proteção dos equipamentos. Em seu relatório, a Securonix disse que já está rastreando os ataques e que eles foram identificados como GO#WEBBFUSCATOR.

Como o malware age

O ataque começa com um email de phishing (isca virtual) com um documento malicioso anexado compatível com o Microsoft Office. No caso descoberto, ele se chamava "Geos-Rates.docx".

Esse arquivo contém uma macro — basicamente, sequência de comandos — do sistema VBS (Visual Basic Application) ocultada. Porém, ela a a ser executada automaticamente se as macros estiverem habilitadas no pacote do Office.

O código então baixa uma imagem em JPG (com o nome de "OxB36F8GEEC634.jpg"), decodifica-a em um sistema executável e o inicia — sem que a vítima saiba o que está ocorrendo.

Em um programa visualizador de imagens, o arquivo em JPG mostra o aglomerado de galáxias SMACS 0723. Agora, se esse arquivo for aberto em um editor de texto, a imagem revela conteúdo adicional disfarçado, que se transforma em um vírus.

Segundo a análise do malware, após a execução, o malware estabelece uma conexão DNS (protocolo que relaciona o endereço "nominal" de um site ou aplicativo com o seu endereço real — número de IP — nos bancos de dados da internet). Nesse processo, são feitas conexões de comando e controle.

"As mensagens [do sistema afetado] criptografadas são lidas e descriptografadas no servidor, revelando assim seu conteúdo original", explica a Securonix no relatório. "Essa prática pode ser usada para estabelecer um canal criptografado para comando e controle ou para extrair dados confidenciais."

O levantamento mostra que a ameaça atualmente não é identificada como conteúdo de risco pelos mecanismos antivírus.

*Com informações dos sites Bleeping Computer e Forbes