Több ezer fogyasztói számítógép esett áldozatul egy rosszindulatú programnak, amely zombivá változtatja őket.
A Microsoft és a Cisco Talos egyaránt átfogó jelentéseket tett közzé a rosszindulatú programokról, elmagyarázva, hogy a támadás hogyan hozza rá a felhasználókat egy rosszindulatú HTML -fájl letöltésére, majd a népszerű Node.js keretrendszert (amely a böngészőn kívül futtatja a Javascript -et) és a WinDivert (hálózati csomaggyűjtő eszköz) alkalmazásokat, amelyek megfertőzik és átveszik a számítógép irányítását. A fertőzött HTML -alkalmazást (HTA) általában rosszindulatú hirdetéseken keresztül terjesztik törvényes tartalomszolgáltatási szolgáltatásokon keresztül, mint például az Amazon Cloudfront.
A fájl futtatása után további Javascript -kódot tölt le, amely végül elindítja a PowerShellt, és rosszindulatú szkriptet ír. Ez többször megtörténik, és a PowerShell minden egyes példánya a következő támadáshoz vezet, kezdve a Windows Defender Antivirus letiltásával és a node.exe fájlon futó JavaScript hasznos terheléssel. A végső JavaScript hasznos terhelés a fertőzött eszközt proxy zombivá alakítja, amelyet a támadó különféle rosszindulatú tevékenységek végrehajtására használhat.
A Microsoft a rosszindulatú programokat Nodersok, míg a Cisco Talos divergensnek nevezi. Akárhogy is, a támadás állítólag elsősorban az Egyesült Államok és Európa mindennapi fogyasztóit célozza meg, a Microsoft szerint a találkozások 3% -át az oktatási, egészségügyi vagy pénzügyi szektor szervezetei látták.
Ellentmondásos elméletek léteznek arról, hogy a kártevő valójában mit tesz. A Cisco szerint a rosszindulatú programot úgy tervezték, hogy bevételt termeljen kattintás-csalás segítségével, amely módszer csalárd díjak generálására kerül, és amely évente több milliárd dollárba kerül a hirdetőknek. A Microsoft viszont úgy véli, hogy a rosszindulatú programot közvetítőként hozták létre a hálózati entitások eléréséhez és a rosszindulatú kódok telepítéséhez.
Bármi legyen is a helyzet, a támadás meglehetősen lopakodó, mivel "fájl nélküli" rosszindulatú programokkal vagy olyan rosszindulatú programokkal kapcsolatos technikákat alkalmaz, amelyek kevés nyomot hagynak a kutatók számára.
"A kampány nemcsak azért érdekes, mert fejlett fájl nélküli technikákat alkalmaz, hanem azért is, mert olyan megfoghatatlan hálózati infrastruktúrára támaszkodik, amely miatt a támadás a radar alatt repül" - írta a Microsoft egy blogbejegyzésben. "Július közepén fedeztük fel ezt a kampányt, amikor az MSHTA.exe rendellenes használatának gyanús mintái derültek ki a Microsoft Defender ATP telemetriájából. Az ezt követő napokban több rendellenesség emelkedett ki, amelyek tízszeresére nőttek. "
Hogyan védheti meg számítógépét a Nodersok/Divergent ellen
Bármennyire is megfoghatatlan ez az újonnan felfedezett rosszindulatú program, a Microsoft és a Cisco is megígéri, hogy szolgáltatásaik-a Windows Defender és a Cisco Advanced Malware Protection (AMP)-képesek észlelni és leállítani a rosszindulatú programokat. Azonban nem minden számítógép van felszerelve azokkal a kártevő-ellenes védőkkel, és a harmadik féltől származó megoldások bonyolultan bánnak ezzel a rosszindulatú programmal.
Ha 100% -os védelmet szeretne biztosítani, a Microsoft azt javasolja, hogy ne futtasson HTA -t (vagy HTML -alkalmazásokat) Windows rendszerein, különösen akkor, ha nem tudják visszavezetni őket egy jogos tulajdonoshoz.
Hitel: Rawpixel.com/Shutterstock
- A legjobb víruskereső szoftver - legjobb szoftver PC -hez, Mac -hez és…