Tisuće potrošačkih računala postale su žrtve zlonamjernog softvera koji ih pretvara u zombije.
Microsoft i Cisco Talos objavili su opsežna izvješća o zlonamjernom softveru, objašnjavajući kako napad tjera korisnike da preuzmu zlonamjernu HTML datoteku, a zatim koristi popularni okvir Node.js (koji izvršava Javascript izvan web preglednika) i WinDivert (alat za hvatanje mrežnih paketa) aplikacije za inficiranje i preuzimanje kontrole nad računalom. Zaražena HTML aplikacija ili HTA obično se distribuira putem zlonamjernih oglasa poslanih putem legitimnih službi za dostavu sadržaja, poput Amazon Cloudfront.
Nakon što se datoteka pokrene, preuzima dodatni Javascript kôd koji na kraju pokreće PowerShell i piše zlonamjernu skriptu. To se događa više puta, pri čemu svaka instanca PowerShell -a vodi do sljedećeg napada, počevši od onemogućavanja Windows Defender Antivirusa i završavajući korisnim sadržajem JavaScript koji se izvodi na node.exe. Konačni teret JavaScript -a pretvara zaraženi uređaj u proxy zombija kojeg napadač može koristiti za izvršavanje raznih zlonamjernih aktivnosti.
Microsoft zlonamjerni softver naziva Nodersok, dok ga Cisco Talos naziva divergentnim. U svakom slučaju, kaže se da je napad prvenstveno usmjeren na svakodnevne potrošače u Sjedinjenim Državama i Europi, a Microsoft kaže da su 3% susreta vidjele organizacije u obrazovnom, zdravstvenom ili financijskom sektoru.
Postoje oprečne teorije o tome što malware zapravo radi. Cisco kaže da je zlonamjerni softver osmišljen za ostvarivanje prihoda pomoću klikova, tehnike generiranja lažnih troškova koja oglašivače košta milijarde dolara svake godine. Microsoft, s druge strane, vjeruje da je zlonamjerni softver stvoren kao relej za pristup mrežnim entitetima i postavljanje zlonamjernog koda.
U svakom slučaju, napad je prilično prikriven jer koristi tehnike povezane s zlonamjernim softverom "bez datoteka" ili zlonamjernim softverom koji ostavlja nekoliko tragova iza sebe kako bi ih istraživači mogli otkriti.
"Kampanja je posebno zanimljiva ne samo zato što koristi napredne tehnike bez datoteka, već i zato što se oslanja na nedostižnu mrežnu infrastrukturu koja uzrokuje da napad proleti ispod radara", napisao je Microsoft u postu na blogu. "Otkrili smo ovu kampanju sredinom srpnja, kada su se iz ATP telemetrije Microsoft Defendera pojavili sumnjivi obrasci u anomalnoj upotrebi MSHTA.exe. U danima koji su uslijedili, istaknulo se više anomalija, pokazavši i do deset puta povećanje aktivnosti. "
Kako zaštititi svoje računalo od Nodersoka/Divergenta
Koliko god ovaj novootkriveni zlonamjerni softver bio nedostižan, i Microsoft i Cisco obećavaju da će njihove usluge --- Windows Defender i Cisco Napredna zaštita od zlonamjernog softvera (AMP) --- moći uočiti i zaustaviti zlonamjerni softver. Međutim, nije svako računalo opremljeno zaštitnicima od zlonamjernog softvera, a rješenja trećih strana teško se snalaze s ovim zlonamjernim softverom.
Ako želite biti 100% zaštićeni, Microsoft predlaže da ne pokrećete HTA (ili HTML aplikacije) na svojim Windows sustavima, pogotovo ako ih ne mogu pratiti do legitimnog vlasnika.
Zasluge: Rawpixel.com/Shutterstock
- Najbolji antivirusni softver - vrhunski softver za računala, Mac i…