Tisíce spotřebních počítačů se staly obětí malwaru, který z nich dělá zombie.
Společnosti Microsoft a Cisco Talos publikovaly komplexní zprávy o malwaru a vysvětlovaly, jak útok přiměje uživatele stáhnout si škodlivý soubor HTML a poté použít populární rámec Node.js (který spouští Javascript mimo webový prohlížeč) a WinDivert (nástroj pro zachycení síťových paketů). aplikace k infikování a převzetí kontroly nad počítačem. Infikovaná aplikace HTML nebo HTA je obvykle distribuována prostřednictvím škodlivých reklam odesílaných prostřednictvím legitimních služeb pro doručování obsahu, jako je Amazon Cloudfront.
Jakmile se soubor spustí, stáhne další kód Javascriptu, který nakonec spustí PowerShell a napíše škodlivý skript. K tomu dochází několikrát, přičemž každá instance prostředí PowerShell vede k dalšímu útoku, počínaje deaktivací antivirového programu Windows Defender a konče užitečným zatížením JavaScriptu, které běží na node.exe. Konečné užitečné zatížení JavaScriptu přemění infikované zařízení na proxy zombie, kterou může útočník použít k provádění různých škodlivých aktivit.
Microsoft nazývá malware Nodersok, zatímco Cisco Talos tomu říká Divergent. Ať tak či onak, útok se údajně primárně zaměřuje na každodenní spotřebitele ve Spojených státech a Evropě a Microsoft uvádí, že 3% setkání viděly organizace ve školství, zdravotnictví nebo finančním sektoru.
Existují konfliktní teorie o tom, co malware vlastně dělá. Cisco říká, že malware byl navržen tak, aby generoval příjmy pomocí click-podvodu, což je technika pro generování podvodných poplatků, která stojí inzerenty miliardy dolarů každý rok. Microsoft se naopak domnívá, že malware byl vytvořen jako relé pro přístup k síťovým entitám a vytváření škodlivého kódu.
Ať tak či onak, útok je docela nenápadný, protože používá techniky spojené s „bezsouborovým“ malwarem nebo malwarem, který po sobě zanechává jen málo stop, které by vědci mohli objevit.
„Kampaň je obzvláště zajímavá nejen proto, že využívá pokročilé bezsouborové techniky, ale také proto, že se spoléhá na nepolapitelnou síťovou infrastrukturu, která způsobuje, že útok letí pod radarem,“ napsal Microsoft na blog. „Tuto kampaň jsme odhalili v polovině července, kdy se z telemetrie Microsoft Defender ATP objevily podezřelé vzorce v anomálním používání MSHTA.exe. V následujících dnech vynikly další anomálie, které ukazovaly až desetinásobný nárůst aktivity. "
Jak chránit počítač před Nodersok/Divergent
Jakkoli tento nově objevený malware může být nepolapitelný, Microsoft i Cisco slibují, že jejich služby --- Windows Defender a Cisco Advanced Malware Protection (AMP), respektive --- dokážou malware detekovat a zastavit. Ne každý počítač je však vybaven těmito obránci proti malwaru a řešení třetích stran mají s tímto konkrétním malwarem záludné chvíle.
Pokud chcete být 100% chráněni, společnost Microsoft navrhuje, abyste ve svých systémech Windows nespouštěli HTA (nebo aplikace HTML), zvláště pokud je nemohou dohledat zpět k legitimnímu majiteli.
Kredit: Rawpixel.com/Shutterstock
- Nejlepší antivirový software - špičkový software pro PC, Mac a…