Χιλιάδες υπολογιστές καταναλωτών έχουν πέσει θύματα κακόβουλου λογισμικού που τους μετατρέπει σε ζόμπι.
Η Microsoft και η Cisco Talos δημοσίευσαν και οι δύο ολοκληρωμένες αναφορές σχετικά με το κακόβουλο λογισμικό, εξηγώντας πώς η επίθεση κάνει τους χρήστες να κατεβάσουν ένα κακόβουλο αρχείο HTML και στη συνέχεια χρησιμοποιεί το δημοφιλές πλαίσιο Node.js (το οποίο εκτελεί Javascript εκτός προγράμματος περιήγησης ιστού) και το WinDivert (εργαλείο λήψης πακέτων δικτύου) εφαρμογές για να μολύνουν και να πάρουν τον έλεγχο ενός υπολογιστή. Η μολυσμένη εφαρμογή HTML, ή HTA, διανέμεται συνήθως μέσω κακόβουλων διαφημίσεων που αποστέλλονται μέσω νόμιμων υπηρεσιών παράδοσης περιεχομένου, όπως το Amazon Cloudfront.
Μόλις τρέξει το αρχείο, κατεβάζει επιπλέον κώδικα Javascript που τελικά ξεκινά το PowerShell και γράφει ένα κακόβουλο σενάριο. Αυτό συμβαίνει πολλές φορές, με κάθε παρουσία του PowerShell να οδηγεί στην επόμενη επίθεση, ξεκινώντας με την απενεργοποίηση του Windows Defender Antivirus και τελειώνοντας με ένα ωφέλιμο φορτίο JavaScript που εκτελείται στο node.exe. Το τελικό ωφέλιμο φορτίο JavaScript μετατρέπει τη μολυσμένη συσκευή σε ζόμπι μεσολάβησης που μπορεί να χρησιμοποιηθεί από έναν εισβολέα για την εκτέλεση διαφόρων κακόβουλων δραστηριοτήτων.
Η Microsoft καλεί το κακόβουλο λογισμικό Nodersok ενώ η Cisco Talos το αποκαλεί Divergent. Όπως και να έχει, η επίθεση λέγεται ότι απευθύνεται κυρίως σε καθημερινούς καταναλωτές στις Ηνωμένες Πολιτείες και την Ευρώπη και η Microsoft λέει ότι το 3% των συναντήσεων παρατηρήθηκαν από οργανισμούς στον τομέα της εκπαίδευσης, της υγειονομικής περίθαλψης ή των χρηματοπιστωτικών τομέων.
Υπάρχουν αντικρουόμενες θεωρίες για το τι πραγματικά κάνει το κακόβουλο λογισμικό. Η Cisco λέει ότι το κακόβουλο λογισμικό σχεδιάστηκε για να παράγει έσοδα χρησιμοποιώντας απάτη με κλικ, μια τεχνική για τη δημιουργία δόλιων δαπανών που κοστίζει στους διαφημιστές δισεκατομμύρια δολάρια κάθε χρόνο. Η Microsoft, από την άλλη πλευρά, πιστεύει ότι το κακόβουλο λογισμικό δημιουργήθηκε ως ρελέ για πρόσβαση σε οντότητες δικτύου και εγκατάσταση κακόβουλου κώδικα.
Όπως και να έχει, η επίθεση είναι αρκετά κρυφή καθώς χρησιμοποιεί τεχνικές που σχετίζονται με κακόβουλο λογισμικό "χωρίς αρχεία" ή κακόβουλο λογισμικό που αφήνει λίγα ίχνη πίσω για να ανακαλύψουν οι ερευνητές.
"Η καμπάνια είναι ιδιαίτερα ενδιαφέρουσα όχι μόνο επειδή χρησιμοποιεί προηγμένες τεχνικές χωρίς αρχεία, αλλά και επειδή βασίζεται σε μια άπιαστη υποδομή δικτύου που προκαλεί την επίθεση να πετάξει κάτω από το ραντάρ", έγραψε η Microsoft σε μια ανάρτηση ιστολογίου. "Αποκαλύψαμε αυτήν την καμπάνια στα μέσα Ιουλίου, όταν εμφανίστηκαν ύποπτα μοτίβα στην ανώμαλη χρήση του MSHTA.exe από την τηλεμετρία του Microsoft Defender ATP. Τις επόμενες μέρες, ξεχώρισαν περισσότερες ανωμαλίες, οι οποίες παρουσίασαν έως και δέκα φορές αύξηση της δραστηριότητας. "
Πώς να προστατεύσετε τον υπολογιστή σας από το Nodersok/Divergent
Όσο άπιαστο κι αν είναι αυτό το πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό, τόσο η Microsoft όσο και η Cisco υπόσχονται ότι οι υπηρεσίες τους --- Windows Defender και Cisco Advanced Malware Protection (AMP), αντίστοιχα --- μπορούν να εντοπίσουν και να σταματήσουν το κακόβουλο λογισμικό. Ωστόσο, δεν είναι όλοι οι υπολογιστές εξοπλισμένοι με αυτά τα προγράμματα προστασίας από κακόβουλο λογισμικό και οι λύσεις τρίτων έχουν έναν δύσκολο χρόνο με το συγκεκριμένο κακόβουλο λογισμικό.
Εάν θέλετε να είστε 100% προστατευμένοι, η Microsoft προτείνει να μην εκτελείτε HTA (ή εφαρμογές HTML) στα συστήματά σας Windows, ειδικά αν δεν μπορούν να τα εντοπίσουν σε έναν νόμιμο κάτοχο.
Πίστωση: Rawpixel.com/Shutterstock
- Καλύτερο λογισμικό προστασίας από ιούς - Κορυφαίο λογισμικό για υπολογιστή, Mac και…