Tusenvis av forbruker -PCer har blitt offer for skadelig programvare som gjør dem til zombier.
Microsoft og Cisco Talos publiserte begge omfattende rapporter om skadelig programvare, og forklarte hvordan angrepet får brukerne til å laste ned en ondsinnet HTML -fil og deretter bruker det populære Node.js -rammeverket (som kjører Javascript utenfor en nettleser) og WinDivert (et verktøy for fangst av pakker for nettverk) apper for å infisere og ta kontroll over en datamaskin. Den infiserte HTML -applikasjonen, eller HTA, distribueres vanligvis gjennom ondsinnede annonser som sendes gjennom legitime innholdstjenester, som Amazon Cloudfront.
Når filen kjøres, lastes den ned ytterligere Javascript -kode som til slutt starter PowerShell og skriver et ondsinnet skript. Det skjer flere ganger, med hver forekomst av PowerShell som fører til det neste angrepet, starter med å deaktivere Windows Defender Antivirus og slutter med en JavaScript nyttelast som kjører på node.exe. Den endelige JavaScript -nyttelasten gjør den infiserte enheten til en proxy -zombie som kan brukes av en angriper for å utføre forskjellige ondsinnede aktiviteter.
Microsoft kaller skadelig programvare Nodersok mens Cisco Talos kaller det Divergent. Uansett sies angrepet først og fremst å være rettet mot dagligdagse forbrukere i USA og Europa, og Microsoft sier at 3% av møtene ble sett av organisasjoner innen utdanning, helse eller finans.
Det er motstridende teorier om hva skadelig programvare faktisk gjør. Cisco sier at skadelig programvare ble designet for å generere inntekter ved å bruke klikk-svindel, en teknikk for å generere uredelige kostnader som koster annonsører milliarder av dollar hvert år. Microsoft, derimot, tror skadelig programvare ble opprettet som et relé for å få tilgang til nettverksenheter og plante ondsinnet kode.
Uansett er angrepet ganske skjult, ettersom det bruker teknikker knyttet til "filløs" malware, eller skadelig programvare som etterlater få spor etter seg for forskere å oppdage.
"Kampanjen er spesielt interessant, ikke bare fordi den bruker avanserte filløse teknikker, men også fordi den er avhengig av en unnvikende nettverksinfrastruktur som får angrepet til å fly under radaren," skrev Microsoft i et blogginnlegg. "Vi avdekket denne kampanjen i midten av juli, da mistenkelige mønstre i den unormale bruken av MSHTA.exe dukket opp fra Microsoft Defender ATP-telemetri. I dagene som fulgte skilte flere anomalier seg, og viste seg til en ti ganger økning i aktivitet. "
Slik beskytter du PC -en din mot Nodersok/Divergent
Så unnvikende som denne nylig oppdagede skadelige programvaren kan være, lover både Microsoft og Cisco at deres tjenester --- henholdsvis Windows Defender og Cisco Advanced Malware Protection (AMP) --- kan oppdage og stoppe skadelig programvare. Imidlertid er ikke hver PC utstyrt med de anti-malware-forsvarerne, og tredjepartsløsninger har en vanskelig tid med denne malware.
Hvis du vil være 100% beskyttet, foreslår Microsoft at du ikke kjører HTA (eller HTML -applikasjoner) på Windows -systemene dine, spesielt hvis de ikke kan spore dem tilbake til en legitim eier.
Kreditt: Rawpixel.com/Shutterstock
- Beste antivirusprogramvare - Toppprogramvare for PC, Mac og …