Duizenden consumenten-pc's zijn het slachtoffer geworden van malware die ze in zombies verandert.
Microsoft en Cisco Talos hebben beide uitgebreide rapporten over de malware gepubliceerd, waarin wordt uitgelegd hoe de aanval gebruikers ertoe brengt een kwaadaardig HTML-bestand te downloaden en vervolgens het populaire Node.js-framework (dat Javascript buiten een webbrowser uitvoert) en WinDivert (een hulpmiddel voor het vastleggen van netwerkpakketten) gebruikt. apps om een computer te infecteren en over te nemen. De geïnfecteerde HTML-toepassing, of HTA, wordt meestal verspreid via kwaadaardige advertenties die worden verzonden via legitieme inhoudsleveringsservices, zoals Amazon Cloudfront.
Zodra het bestand is uitgevoerd, downloadt het aanvullende Javascript-code die uiteindelijk PowerShell start en een kwaadaardig script schrijft. Dat gebeurt meerdere keren, waarbij elke instantie van PowerShell leidt tot de volgende aanval, te beginnen met het uitschakelen van Windows Defender Antivirus en eindigend met een JavaScript-payload die op node.exe wordt uitgevoerd. De uiteindelijke JavaScript-payload verandert het geïnfecteerde apparaat in een proxyzombie die door een aanvaller kan worden gebruikt om verschillende kwaadaardige activiteiten uit te voeren.
Microsoft noemt de malware Nodersok, terwijl Cisco Talos het Divergent noemt. Hoe dan ook, de aanval zou voornamelijk gericht zijn op alledaagse consumenten in de Verenigde Staten en Europa en Microsoft zegt dat 3% van de ontmoetingen werd gezien door organisaties in het onderwijs, de gezondheidszorg of de financiële sector.
Er zijn tegenstrijdige theorieën over wat de malware eigenlijk doet. Cisco zegt dat de malware is ontworpen om inkomsten te genereren met behulp van klikfraude, een techniek voor het genereren van frauduleuze kosten die adverteerders miljarden dollars per jaar kosten. Aan de andere kant gelooft Microsoft dat de malware is gemaakt als een relais om toegang te krijgen tot netwerkentiteiten en kwaadaardige code te installeren.
Hoe dan ook, de aanval is vrij heimelijk omdat het technieken gebruikt die verband houden met "bestandsloze" malware, of malware die weinig sporen achterlaat voor onderzoekers om te ontdekken.
"De campagne is bijzonder interessant, niet alleen omdat er gebruik wordt gemaakt van geavanceerde bestandsloze technieken, maar ook omdat het steunt op een ongrijpbare netwerkinfrastructuur die ervoor zorgt dat de aanval onder de radar vliegt", schreef Microsoft in een blogpost. "We ontdekten deze campagne medio juli, toen verdachte patronen in het afwijkende gebruik van MSHTA.exe naar voren kwamen uit Microsoft Defender ATP-telemetrie. In de dagen die volgden vielen meer afwijkingen op, met een tienvoudige toename van de activiteit. "
Hoe u uw pc kunt beschermen tegen Nodersok/Divergent
Hoe ongrijpbaar deze nieuw ontdekte malware ook is, zowel Microsoft als Cisco beloven dat hun diensten --- respectievelijk Windows Defender en Cisco Advanced Malware Protection (AMP), --- de malware kunnen opsporen en stoppen. Niet elke pc is echter uitgerust met die anti-malware-verdedigers en oplossingen van derden hebben het moeilijk met deze specifieke malware.
Als je 100% beschermd wilt zijn, raadt Microsoft aan om geen HTA (of HTML-applicaties) op je Windows-systemen te draaien, vooral niet als ze deze niet kunnen herleiden tot een legitieme eigenaar.
Krediet: Rawpixel.com/Shutterstock
- Beste antivirussoftware - Topsoftware voor pc, Mac en …