Los spammers y los ciberdelincuentes han revivido los ataques basados en correo electrónico en el último año, dándole vida a malware basado en macros ocultos en documentos Word y, con mayor intensidad últimamente, los archivos .js que ejecutan JavaScript en clientes infectados, en gran parte para descargar malware del sitio de los atacantes.

Google respondió anunciando que comenzará a bloquear archivos .js adjuntos de Gmail a partir del 13 de febrero, debido a estas preocupaciones de seguridad.

“Al igual que otros archivos adjuntos restringidos, no se podrá adjuntar archivos .js y aparecerá una advertencia explicando la razón”, dijo Google en un anuncio publicado en el sitio web de G Suite.

Google ya bloquea más de 30 tipos de archivos adjuntos de Gmail incluidos .cmd, .exe, .jar, .lib, .scr, .vbs entre otros.

La compañía reconoce que puede haber casos empresariales que requieran el intercambio de archivos .js pero no lo permitirá en correos electrónicos, sino que sugiere compartirlo a través de Google Drive u otras opciones de almacenamiento basado en la nube.  

La fecha de inicio del 13 de febrero será solo de lanzamiento rápido, informó Google, con un lanzamiento programado para dos semanas más tarde.

La medida es en respuesta a la creciente amenaza que plantean estos tipos de archivos, que se utilizan en la operación del cibercrimen para difundir malware bancario, ransomware, malware de fraude por clic y adware de usuarios. SANS Internet Storm Center advirtió de una nueva campaña iniciada por criminales conocidos por difundir el ransomware Cerber. Utilizaban ataques a través de correo electrónico basado en archivos .js escondidos en dos archivos .zip para descargar el ransomware Sage 2.0 desde un sitio de terceros.

La misma campaña también se basa en malware de macros para infectar puntos finales con crypto ransomware.

Otra campaña del pasado mes de septiembre utilizó mensajes de correo electrónico que falsificaban fuentes de negocios con el fin de difundir el descargador basado en JavaScript que descargaba malware de fraude de clics como Kovter y Miuref, así como el troyano Corebot, que comenzó como malware centrado en robar credenciales antes de convertirse en un malware bancario.

Los atacantes también estaban extendiendo el ransomware Locky de esta manera, usando un descargador de .js, entre otros, para agarrar malware de la web una vez que una máquina había sido comprometida. Locky fue una amenaza preocupante a principios del año pasado cuando era el centro de infecciones de alto perfil en los hospitales de Hollywood y Kentucky.