Mii de PC-uri de consum au căzut victime ale programelor malware care le transformă în zombi.
Microsoft și Cisco Talos au publicat ambele rapoarte cuprinzătoare despre malware, explicând modul în care atacul determină utilizatorii să descarce un fișier HTML rău intenționat, apoi folosește cadrul popular Node.js (care execută Javascript în afara unui browser web) și WinDivert (un instrument de captare a pachetelor de rețea) aplicații pentru a infecta și a prelua controlul unui computer. Aplicația HTML infectată sau HTA este de obicei distribuită prin anunțuri rău intenționate trimise prin servicii legitime de livrare a conținutului, cum ar fi Amazon Cloudfront.
Odată ce fișierul rulează, acesta descarcă cod Javascript suplimentar care pornește în cele din urmă PowerShell și scrie un script rău intenționat. Acest lucru se întâmplă de mai multe ori, fiecare instanță PowerShell ducând la următorul atac, începând cu dezactivarea Windows Defender Antivirus și terminând cu o sarcină utilă JavaScript care rulează pe node.exe. Sarcina utilă finală JavaScript transformă dispozitivul infectat într-un zombie proxy care poate fi folosit de un atacator pentru a executa diverse activități rău intenționate.
Microsoft numește malware-ul Nodersok, în timp ce Cisco Talos îl numește divergent. Oricum ar fi, se spune că atacul vizează în primul rând consumatorii obișnuiți din Statele Unite și Europa și Microsoft spune că 3% din întâlniri au fost văzute de organizații din sectoarele educației, asistenței medicale sau financiare.
Există teorii contradictorii cu privire la ceea ce face malware-ul. Cisco spune că malware-ul a fost conceput pentru a genera venituri folosind clic-fraudă, o tehnică de generare a unor taxe frauduloase care costă agenții de publicitate miliarde de dolari în fiecare an. Microsoft, pe de altă parte, consideră că malware-ul a fost creat ca un releu pentru accesarea entităților din rețea și plantarea codului rău intenționat.
Indiferent de caz, atacul este destul de furtunos, deoarece folosește tehnici asociate cu malware-ul „fără fișier” sau malware care lasă puține urme în urmă pentru descoperirea cercetătorilor.
„Campania este deosebit de interesantă nu doar pentru că folosește tehnici avansate fără fil, ci și pentru că se bazează pe o infrastructură de rețea evazivă care face ca atacul să zboare sub radar”, a scris Microsoft într-o postare pe blog. „Am descoperit această campanie la mijlocul lunii iulie, când au apărut modele suspecte în utilizarea anormală a MSHTA.exe din telemetria Microsoft Defender ATP. În zilele următoare, s-au remarcat mai multe anomalii, prezentând o creștere de zece ori a activității. "
Cum să vă protejați computerul de Nodersok / Divergent
Oricât de evaziv ar fi acest malware recent descoperit, atât Microsoft, cât și Cisco promit că serviciile lor --- Windows Defender și respectiv Cisco Advanced Malware Protection (AMP), respectiv --- pot detecta și opri malware-ul. Cu toate acestea, nu toate computerele sunt echipate cu apărători anti-malware și soluțiile terță parte au un timp dificil cu acest malware special.
Dacă doriți să fiți 100% protejat, Microsoft vă sugerează să nu rulați HTA (sau aplicații HTML) pe sistemele dvs. Windows, mai ales dacă nu le pot urmări la un proprietar legitim.
Credit: Rawpixel.com/Shutterstock
- Cel mai bun software antivirus - Software de top pentru PC, Mac și …