Тисячі споживчих ПК стали жертвами шкідливого програмного забезпечення, яке перетворює їх на зомбі.
Microsoft та Cisco Talos опублікували вичерпні звіти про шкідливе програмне забезпечення, де пояснюється, як атака змушує користувачів завантажувати шкідливий HTML -файл, а потім використовує популярну структуру Node.js (яка виконує Javascript поза веб -браузером) та WinDivert (інструмент захоплення мережевих пакетів). додатки для зараження комп’ютера та контролю над ним. Заражена програма HTML або HTA зазвичай поширюється через шкідливі оголошення, що надсилаються через законні служби доставки вмісту, наприклад Amazon Cloudfront.
Після запуску файл завантажує додатковий код Javascript, який врешті -решт запускає PowerShell і записує шкідливий сценарій. Це відбувається кілька разів, причому кожен екземпляр PowerShell веде до наступної атаки, починаючи з відключення антивірусу Захисника Windows і закінчуючи корисним навантаженням JavaScript, яке працює на node.exe. Остаточне корисне навантаження JavaScript перетворює заражений пристрій у проксі -зомбі, який може бути використаний зловмисником для виконання різних шкідливих дій.
Microsoft називає шкідливе програмне забезпечення Nodersok, а Cisco Talos - Divergent. У будь -якому випадку, зазначається, що атака націлена переважно на повсякденних споживачів у Сполучених Штатах та Європі, а Microsoft каже, що 3% зустрічей бачили організації з освітнього, медичного та фінансового секторів.
Існують суперечливі теорії щодо того, що насправді робить шкідлива програма. Cisco стверджує, що шкідливе програмне забезпечення було розроблене для отримання доходу за допомогою шахрайства, яке є методом генерування шахрайських витрат, що коштує рекламодавцям мільярди доларів щороку. Microsoft, з іншого боку, вважає, що шкідливе програмне забезпечення було створено як ретранслятор для доступу до мережевих об’єктів та встановлення шкідливого коду.
У будь -якому випадку, атака є досить прихованою, оскільки вона використовує прийоми, пов'язані з "безфайловою" шкідливою програмою або зловмисним програмним забезпеченням, яке залишає сліди, щоб дослідники могли їх виявити.
"Кампанія особливо цікава не тільки тому, що вона використовує передові методи без файлів, а й тому, що вона спирається на невловиму мережеву інфраструктуру, яка змушує атаку пролітати під радаром", - написала Microsoft у своєму блозі. "Ми розкрили цю кампанію в середині липня, коли з телеметрії Microsoft Defender ATP з'явилися підозрілі закономірності в аномальному використанні MSHTA.exe. Протягом наступних днів виявлялося більше аномалій, які показували до десятикратного збільшення активності. "
Як захистити свій ПК від Nodersok/Divergent
Яким би невловимим не виявилося це нещодавно виявлене шкідливе програмне забезпечення, і Microsoft, і Cisco обіцяють, що їхні послуги-відповідно, Захисник Windows та Розширений захист від шкідливого програмного забезпечення Cisco-можуть виявити та зупинити зловмисне програмне забезпечення. Однак не кожен ПК оснащений захисниками від шкідливого програмного забезпечення, і сторонні рішення мають складні часи з цим конкретним шкідливим програмним забезпеченням.
Якщо ви хочете бути на 100% захищеними, Microsoft пропонує не запускати HTA (або HTML -програми) у своїх системах Windows, особливо якщо вони не можуть відстежити їх назад до законного власника.
Кредит: Rawpixel.com/Shutterstock
- Найкраще антивірусне програмне забезпечення - найкраще програмне забезпечення для ПК, Mac та…