Тысячи потребительских компьютеров стали жертвами вредоносного ПО, которое превращает их в зомби.
Microsoft и Cisco Talos опубликовали исчерпывающие отчеты о вредоносном ПО, объясняя, как атака заставляет пользователей загружать вредоносный HTML-файл, а затем использовать популярную платформу Node.js (которая выполняет Javascript вне веб-браузера) и WinDivert (инструмент захвата сетевых пакетов). приложения, чтобы заразить и взять под контроль компьютер. Зараженное HTML-приложение, или HTA, обычно распространяется через вредоносную рекламу, отправляемую через законные службы доставки контента, такие как Amazon Cloudfront.
После запуска файла он загружает дополнительный код Javascript, который в конечном итоге запускает PowerShell и записывает вредоносный сценарий. Это происходит несколько раз, и каждый экземпляр PowerShell приводит к следующей атаке, начиная с отключения антивируса Защитника Windows и заканчивая полезной нагрузкой JavaScript, выполняемой на node.exe. Последняя полезная нагрузка JavaScript превращает зараженное устройство в прокси-зомби, которого злоумышленник может использовать для выполнения различных вредоносных действий.
Microsoft называет вредоносную программу Nodersok, а Cisco Talos - дивергентной. В любом случае, атака, как утверждается, в первую очередь нацелена на обычных потребителей в Соединенных Штатах и Европе, и Microsoft заявляет, что 3% встреч были замечены организациями в сфере образования, здравоохранения или финансового сектора.
Существуют противоречивые теории относительно того, что на самом деле делает вредоносная программа. Cisco заявляет, что вредоносное ПО было разработано для получения дохода с помощью мошенничества с кликами - метода получения мошеннических платежей, который ежегодно обходится рекламодателям в миллиарды долларов. Microsoft, с другой стороны, считает, что вредоносная программа была создана как ретранслятор для доступа к сетевым объектам и установки вредоносного кода.
Как бы то ни было, атака является довольно скрытой, поскольку в ней используются методы, связанные с «бесфайловыми» вредоносными программами или вредоносными программами, которые оставляют мало следов для обнаружения исследователями.
«Кампания особенно интересна не только потому, что в ней используются передовые безфайловые методы, но и потому, что она полагается на неуловимую сетевую инфраструктуру, которая заставляет атаку оставаться незамеченной», - написала Microsoft в своем блоге. «Мы обнаружили эту кампанию в середине июля, когда на основе телеметрии ATP в Microsoft Defender были выявлены подозрительные закономерности аномального использования MSHTA.exe. В последующие дни выявилось больше аномалий, что привело к десятикратному увеличению активности. "
Как защитить свой компьютер от Nodersok / Divergent
Каким бы неуловимым ни выглядело это недавно обнаруженное вредоносное ПО, и Microsoft, и Cisco обещают, что их услуги - Защитник Windows и Cisco Advanced Malware Protection (AMP) соответственно - могут обнаружить и остановить вредоносное ПО. Однако не каждый компьютер оснащен этими средствами защиты от вредоносных программ, и сторонние решения с трудом справляются с этим конкретным вредоносным ПО.
Если вы хотите быть на 100% защищенным, Microsoft предлагает вам не запускать HTA (или HTML-приложения) в ваших системах Windows, особенно если они не могут отследить их до законного владельца.
Кредит: Rawpixel.com/Shutterstock
- Лучшее антивирусное программное обеспечение - лучшее программное обеспечение для ПК, Mac и…