Хиляди потребителски компютри са станали жертва на зловреден софтуер, който ги превръща в зомбита.
Microsoft и Cisco Talos публикуваха изчерпателни доклади за зловредния софтуер, обясняващи как атаката кара потребителите да изтеглят злонамерен HTML файл, след което използва популярната рамка Node.js (която изпълнява Javascript извън уеб браузър) и WinDivert (инструмент за улавяне на мрежови пакети) приложения за заразяване и овладяване на компютър. Заразеното HTML приложение или HTA обикновено се разпространява чрез злонамерени реклами, изпращани чрез законни услуги за доставка на съдържание, като Amazon Cloudfront.
След като файлът се стартира, той изтегля допълнителен код на Javascript, който в крайна сметка стартира PowerShell и пише злонамерен скрипт. Това се случва многократно, като всеки екземпляр на PowerShell води до следващата атака, като започва с деактивиране на Windows Defender Antivirus и завършва с полезен товар на JavaScript, който работи на node.exe. Окончателният полезен товар на JavaScript превръща заразеното устройство в прокси зомби, което може да бъде използвано от нападател за изпълнение на различни злонамерени дейности.
Microsoft нарича зловредния софтуер Nodersok, докато Cisco Talos го нарича Divergent. Така или иначе, атаката е насочена основно към ежедневните потребители в САЩ и Европа, а Microsoft казва, че 3% от срещите са били наблюдавани от организации в образованието, здравеопазването или финансовия сектор.
Има противоречиви теории за това какво всъщност прави зловредният софтуер. Cisco казва, че зловредният софтуер е създаден за генериране на приходи, използвайки измама с кликване, техника за генериране на измамни такси, която струва на рекламодателите милиарди долари всяка година. Microsoft, от друга страна, смята, че зловредният софтуер е създаден като реле за достъп до мрежови обекти и инсталиране на зловреден код.
Какъвто и да е случаят, атаката е доста скрита, тъй като използва техники, свързани с "безфайлов" зловреден софтуер или зловреден софтуер, който оставя малко следи, за да могат изследователите да открият.
„Кампанията е особено интересна не само защото използва усъвършенствани техники без файлове, но и защото разчита на неуловима мрежова инфраструктура, която кара атаката да лети под радара“, пише Microsoft в публикация в блог. „Открихме тази кампания в средата на юли, когато подозрителни модели в аномалната употреба на MSHTA.exe се появиха от телеметрията на Microsoft Defender ATP. В следващите дни се откроиха още аномалии, показващи до десеткратно увеличение на активността. "
Как да защитите компютъра си от Nodersok/Divergent
Колкото и неуловим да е този новооткрит зловреден софтуер, Microsoft и Cisco обещават, че техните услуги --- съответно Windows Defender и Cisco Advanced Malware Protection (AMP) --- могат да забележат и спрат зловредния софтуер. Въпреки това, не всеки компютър е оборудван с тези защитници срещу злонамерен софтуер и решенията на трети страни имат трудно време с този конкретен зловреден софтуер.
Ако искате да сте 100% защитени, Microsoft предлага да не стартирате HTA (или HTML приложения) на вашите системи с Windows, особено ако те не могат да ги проследят до легитимен собственик.
Кредит: Rawpixel.com/Shutterstock
- Най -добрият антивирусен софтуер - Топ софтуер за компютър, Mac и…