Tysiące komputerów konsumenckich padło ofiarą złośliwego oprogramowania, które zamienia je w zombie.
Zarówno Microsoft, jak i Cisco Talos opublikowały obszerne raporty na temat złośliwego oprogramowania, wyjaśniając, w jaki sposób atak skłania użytkowników do pobrania złośliwego pliku HTML, a następnie wykorzystuje popularny framework Node.js (który wykonuje Javascript poza przeglądarką internetową) i WinDivert (narzędzie do przechwytywania pakietów sieciowych). aplikacje do infekowania i przejmowania kontroli nad komputerem. Zainfekowana aplikacja HTML (HTA) jest zazwyczaj dystrybuowana za pośrednictwem złośliwych reklam wysyłanych za pośrednictwem legalnych usług dostarczania treści, takich jak Amazon Cloudfront.
Po uruchomieniu plik pobiera dodatkowy kod JavaScript, który ostatecznie uruchamia PowerShell i zapisuje złośliwy skrypt. Dzieje się tak wiele razy, a każda instancja PowerShell prowadzi do kolejnego ataku, zaczynając od wyłączenia programu antywirusowego Windows Defender, a kończąc na ładunku JavaScript uruchamianym na node.exe. Ostateczny ładunek JavaScript zamienia zainfekowane urządzenie w proxy zombie, które może zostać wykorzystane przez atakującego do wykonania różnych złośliwych działań.
Microsoft nazywa to złośliwe oprogramowanie Nodersok, podczas gdy Cisco Talos nazywa je Rozbieżnym. Tak czy inaczej, atak ma być wymierzony głównie w zwykłych konsumentów w Stanach Zjednoczonych i Europie, a Microsoft twierdzi, że 3% spotkań zostało odnotowanych przez organizacje z sektora edukacji, opieki zdrowotnej lub finansów.
Istnieją sprzeczne teorie na temat tego, co faktycznie robi złośliwe oprogramowanie. Cisco twierdzi, że złośliwe oprogramowanie zostało zaprojektowane w celu generowania przychodów za pomocą oszukańczych kliknięć, techniki generowania fałszywych opłat, która każdego roku kosztuje reklamodawców miliardy dolarów. Z drugiej strony Microsoft uważa, że złośliwe oprogramowanie zostało stworzone jako przekaźnik umożliwiający dostęp do jednostek sieciowych i umieszczanie złośliwego kodu.
W każdym razie atak jest dość skryty, ponieważ wykorzystuje techniki związane z „bezplikowym” złośliwym oprogramowaniem lub złośliwym oprogramowaniem, które pozostawia niewiele śladów do odkrycia przez badaczy.
„Kampania jest szczególnie interesująca nie tylko dlatego, że wykorzystuje zaawansowane techniki bezplikowe, ale także dlatego, że opiera się na nieuchwytnej infrastrukturze sieciowej, która powoduje, że atak jest niezauważony” – napisał Microsoft w poście na blogu. „Odkryliśmy tę kampanię w połowie lipca, kiedy z telemetrii Microsoft Defender ATP wyłoniły się podejrzane wzorce nieprawidłowego użycia MSHTA.exe. W następnych dniach pojawiło się więcej anomalii, wykazując nawet dziesięciokrotny wzrost aktywności. "
Jak chronić komputer przed Nodersok/Divergent?
Choć to nowo odkryte złośliwe oprogramowanie może być nieuchwytne, zarówno firmy Microsoft, jak i Cisco obiecują, że ich usługi - odpowiednio Windows Defender i Cisco Advanced Malware Protection (AMP) - mogą wykryć i zatrzymać złośliwe oprogramowanie. Jednak nie każdy komputer jest wyposażony w te obrońców przed złośliwym oprogramowaniem, a rozwiązania innych firm mają problemy z tym konkretnym złośliwym oprogramowaniem.
Jeśli chcesz być w 100% chroniony, firma Microsoft sugeruje, aby nie uruchamiać aplikacji HTA (lub aplikacji HTML) w swoich systemach Windows, zwłaszcza jeśli nie mogą one prześledzić ich wstecz do legalnego właściciela.
Źródło: Rawpixel.com/Shutterstock
- Najlepsze oprogramowanie antywirusowe - najlepsze oprogramowanie na komputery PC, Mac i…