Tuhannet kuluttajatietokoneet ovat joutuneet haittaohjelmien uhreiksi, jotka tekevät niistä zombeja.
Microsoft ja Cisco Talos julkaisivat molemmat kattavat raportit haittaohjelmista selittäen, kuinka hyökkäys saa käyttäjät lataamaan haitallisen HTML -tiedoston ja käyttää sitten suosittua Node.js -kehystä (joka suorittaa Javascriptin selaimen ulkopuolella) ja WinDivertia (verkkopakettien kaappaustyökalu) sovelluksia, jotka tartuttavat tietokoneen ja ottavat sen hallintaansa. Tartunnan saanut HTML -sovellus eli HTA levitetään tyypillisesti haitallisten mainosten kautta, jotka lähetetään laillisten sisältöpalvelujen, kuten Amazon Cloudfrontin, kautta.
Kun tiedosto on suoritettu, se lataa ylimääräisen Javascript -koodin, joka lopulta käynnistää PowerShellin ja kirjoittaa haittaohjelman. Tämä tapahtuu useita kertoja, ja jokainen PowerShell -esiintymä johtaa seuraavaan hyökkäykseen, joka alkaa poistamalla Windows Defender Antivirus käytöstä ja päättyen JavaScript -hyötykuormaan, joka suoritetaan node.exe -tiedostossa. Viimeinen JavaScript -hyötykuorma muuttaa tartunnan saaneen laitteen välityspalvelimen zombiksi, jota hyökkääjä voi käyttää erilaisten haitallisten toimintojen suorittamiseen.
Microsoft kutsuu haittaohjelmaa Nodersokiksi, kun taas Cisco Talos kutsuu sitä erilaiseksi. Kummassakin tapauksessa hyökkäyksen sanotaan kohdistuvan pääasiassa jokapäiväisiin kuluttajiin Yhdysvalloissa ja Euroopassa, ja Microsoftin mukaan 3% tapaamisista näki koulutus-, terveydenhuolto- tai rahoitusalan organisaatiot.
On olemassa ristiriitaisia teorioita siitä, mitä haittaohjelma todella tekee. Cisco sanoo, että haittaohjelma on suunniteltu tuottamaan tuloja napsautuspetosten avulla. Tämä tekniikka tuottaa vilpillisiä maksuja, jotka maksavat mainostajille miljardeja dollareita vuosittain. Microsoft sen sijaan uskoo, että haittaohjelma luotiin välittäjänä verkkoyhteyksien käyttämiseen ja haittakoodin istuttamiseen.
Oli miten oli, hyökkäys on varsin salainen, koska se käyttää tekniikoita, jotka liittyvät "tiedostottomaan" haittaohjelmaan tai haittaohjelmaan, joka jättää vain vähän jälkiä tutkijoiden löydettäväksi.
"Kampanja on erityisen mielenkiintoinen paitsi siksi, että siinä käytetään kehittyneitä tiedostottomia tekniikoita, mutta myös siksi, että se perustuu vaikeasti ymmärrettävään verkkoinfrastruktuuriin, joka saa hyökkäyksen lentämään tutkan alle", Microsoft kirjoitti blogikirjoituksessaan. "Paljastimme tämän kampanjan heinäkuun puolivälissä, kun Microsoft Defenderin ATP-telemetriaan nousi esiin epäilyttäviä malleja MSHTA.exe-tiedoston epänormaalissa käytössä. Seuraavina päivinä havaittiin enemmän poikkeavuuksia, jotka osoittivat jopa kymmenkertaisen toiminnan lisääntymisen. "
Kuinka suojata tietokoneesi Nodersok/Divergentilta
Niin hankala kuin tämä äskettäin löydetty haittaohjelma saattaakin olla, sekä Microsoft että Cisco lupaavat, että heidän palvelunsa-Windows Defender ja Cisco Advanced Malware Protection (AMP)-voivat havaita ja pysäyttää haittaohjelman. Kaikki tietokoneet eivät kuitenkaan ole varustettu haittaohjelmien vastaisilla puolustajilla, ja kolmansien osapuolten ratkaisuilla on hankala aika tämän haittaohjelman kanssa.
Jos haluat olla 100% suojattu, Microsoft ehdottaa, että et suorita HTA: ta (tai HTML -sovelluksia) Windows -järjestelmissäsi, varsinkin jos he eivät pysty jäljittämään niitä lailliseen omistajaan.
Luotto: Rawpixel.com/Shutterstock
- Paras virustentorjuntaohjelmisto - huippuohjelmisto PC: lle, Macille ja…