Tisíce spotrebiteľských počítačov sa stali obeťami malwaru, ktorý z nich robí zombie.
Spoločnosti Microsoft a Cisco Talos zverejnili komplexné správy o škodlivom softvéri a vysvetlili, ako útok prinúti používateľov stiahnuť si škodlivý súbor HTML a potom použiť populárny rámec Node.js (ktorý spúšťa Javascript mimo webový prehliadač) a WinDivert (nástroj na zachytávanie paketov v sieti). aplikácie na infekciu a prevzatie kontroly nad počítačom. Infikovaná aplikácia HTML alebo HTA je zvyčajne distribuovaná prostredníctvom škodlivých reklám odosielaných prostredníctvom legitímnych služieb dodávania obsahu, ako je Amazon Cloudfront.
Hneď ako sa súbor spustí, stiahne ďalší kód Javascript, ktorý nakoniec spustí PowerShell a napíše škodlivý skript. To sa stáva viackrát, pričom každá inštancia PowerShell vedie k ďalšiemu útoku, počínajúc deaktiváciou antivírusového programu Windows Defender a končiacim užitočným zaťažením JavaScriptu, ktoré beží na node.exe. Konečné užitočné zaťaženie JavaScriptu premení infikované zariadenie na proxy zombie, ktorú môže útočník použiť na vykonávanie rôznych škodlivých činností.
Microsoft nazýva malware Nodersok, zatiaľ čo Cisco Talos ho nazýva Divergentný. Tak či onak, útok sa údajne zameriava predovšetkým na bežných spotrebiteľov v USA a Európe a spoločnosť Microsoft tvrdí, že 3% stretnutí videli organizácie vo vzdelávacom, zdravotníckom alebo finančnom sektore.
Existujú protichodné teórie o tom, čo malware skutočne robí. Spoločnosť Cisco tvrdí, že škodlivý softvér bol vytvorený tak, aby generoval príjmy pomocou podvodov s klikaním, čo je technika na vytváranie podvodných poplatkov, ktoré stoja inzerentov každoročne miliardy dolárov. Microsoft sa naopak domnieva, že malware bol vytvorený ako relé na prístup k sieťovým entitám a ukladaniu škodlivého kódu.
Bez ohľadu na to je tento útok celkom nenápadný, pretože používa techniky spojené s „bezsouborovým“ škodlivým softvérom alebo malvérom, ktorý po sebe zanecháva len málo stôp, ktoré môžu výskumníci objaviť.
„Kampaň je obzvlášť zaujímavá nielen tým, že využíva pokročilé techniky bez súborov, ale aj tým, že sa spolieha na nepolapiteľnú sieťovú infraštruktúru, ktorá spôsobuje, že útok letí pod radarom,“ píše Microsoft v blogovom príspevku. „Túto kampaň sme odhalili v polovici júla, keď z telemetrie Microsoft Defender ATP vyplynuli podozrivé vzorce v anomálnom použití MSHTA.exe. V nasledujúcich dňoch vynikli ďalšie anomálie, ktoré ukazovali až desaťnásobný nárast aktivity.“ "
Ako chrániť počítač pred Nodersok/Divergent
Aj keď je tento novoobjavený malware nepolapiteľný, Microsoft aj Cisco sľubujú, že ich služby --- Windows Defender a Cisco Advanced Malware Protection (AMP), respektíve-, dokážu malware odhaliť a zastaviť. Nie každý počítač je však vybavený týmito obrancami proti malwaru a riešenia tretích strán majú s týmto konkrétnym škodlivým softvérom zložité obdobie.
Ak chcete byť 100% chránení, spoločnosť Microsoft navrhuje, aby ste vo svojich systémoch Windows nespúšťali HTA (alebo HTML aplikácie), najmä ak ich nedokážu vystopovať späť k legitímnemu vlastníkovi.
Kredit: Rawpixel.com/Shutterstock
- Najlepší antivírusový softvér - špičkový softvér pre PC, Mac a …