Cuidado com os usuários do Windows!
Há uma nova cepa de malware fazendo rondas na internet que já infectou milhares de computadores no mundo e muito provavelmente, o seu programa antivírus não seria capaz de detectá-lo.
Por quê? Isso porque, em primeiro lugar, é uma malwares fileless avançada e segundo, ele aproveita única legítima utilitários de sistema embutidos e ferramentas de terceiros para estender seus computadores funcionalidade e de compromisso, em vez de usar qualquer peça maliciosa de código.
A técnica de trazer suas próprias ferramentas legítimas é eficaz e raramente tem sido visto em estado selvagem, ajudando atacantes para misturar em suas atividades maliciosas com a atividade da rede regular ou tarefas de administração do sistema, deixando menos pegadas.
Independentemente descoberta por pesquisadores de segurança cibernética da Microsoft e Cisco Talos, o malware – apelidado de “Nodersok” e “Divergente” – é essencialmente a ser distribuído através de anúncios online maliciosos e usuários infectando usando um drive-by download ataque.
Viu pela primeira vez em meados de julho deste ano, o malware foi projetado para ligar computadores Windows infectados em proxies, que de acordo com a Microsoft, em seguida, podem ser usados por atacantes como um relé para esconder o tráfego malicioso; enquanto a Cisco Talos acredita que os proxies são usados para click-fraude para gerar receita para os atacantes.
Multi Stage-processo de infecção envolve ferramentas legítimas
A infecção começa quando arquivo de anúncios maliciosos aplicação HTML gota (HTA) nos computadores dos usuários, que, quando clicado, executa uma série de cargas JavaScript e scripts do PowerShell que, eventualmente, baixar e instalar o malware Nodersok.
“Todas as funcionalidades relevantes residem em scripts e shellcodes que são quase sempre entrando criptografado, são então descodificada, e executar enquanto apenas na memória. Sem executável malicioso está sempre gravados no disco”, explica Microsoft.
Como ilustrado no diagrama, o código JavaScript conecta a serviços em nuvem legítimos e domínios de projeto para baixar e executar scripts do segundo estágio e componentes criptografados adicionais, incluindo:
Scripts PowerShell – tentativa de desativar o Windows Defender antivírus e atualização do Windows.
Shellcode binário – tenta escalar privilégios usando a interface COM elevou-auto.
NODE.EXE – implementação do Windows do quadro Node.js popular, que é confiável e tem uma assinatura digital válida, executa JavaScript malicioso para operar dentro do contexto de um processo confiável.
WinDivert (Windows Packet desviar) – um legítimo, poderosa rede de captura de pacotes e utilitário de manipulação que o malware utiliza para filtrar e modificar certos pacotes de saída.
No passado, o malware deixa cair a carga JavaScript final escrito para o quadro Node.js que converte o sistema comprometido em um proxy.
“Isto conclui a infecção, ao final dos quais está ativo o filtro de pacotes de rede, e a máquina está funcionando como um potencial zumbi proxy,” explica Microsoft.
“Quando uma máquina se transforma em um proxy, ele pode ser usado por atacantes como um relé para acessar outros (servidores de websites, C & C, máquinas comprometidas, etc.) entidades de rede, o que pode lhes permitem realizar atividades maliciosas furtivos.”
De acordo com os especialistas da Microsoft, o mecanismo de proxy Node.js-base tem atualmente dois fins-primeira primária, ele se conecta ao sistema infectado de volta para um servidor de comando e controle remoto, controlado pelo invasor e, segundo, que recebe solicitações HTTP para o proxy de volta a ele.
Por outro lado, especialistas da Cisco Talos conclui que os atacantes estão usando esse componente de proxy para comandar sistemas infectados para navegar para páginas da web arbitrários para monetização e clicar em fins de fraude.
Milhares Nodersok infectados dos usuários do Windows
Segundo a Microsoft, o malware Nodersok já infectou milhares de máquinas nas últimas semanas, com a maioria dos alvos localizados nos Estados Unidos e na Europa.
Enquanto o malware se concentra principalmente na segmentação usuários domésticos do Windows, os pesquisadores têm visto a cerca de 3% dos ataques contra a organização de setores da indústria, incluindo educação, saúde, finanças, varejo e negócios e serviços profissionais.
Desde que a campanha de malwares emprega técnicas fileless avançados e conta com infraestrutura de rede evasivo, fazendo uso de ferramentas legítimas, a campanha de ataque voou sob o radar, tornando mais difícil para programas antivírus baseados em assinaturas tradicionais de detectá-lo.
“Se excluirmos todos os arquivos limpos e legítimas, alavancada pelo ataque, tudo o que resta são o arquivo inicial HTA, a carga final baseado-Node.js, e um monte de arquivos criptografados.assinaturas baseadas em arquivos tradicionais são inadequadas para combater as ameaças sofisticadas como este “, diz Microsoft.
No entanto, a empresa diz que o malware “comportamento produziu uma pegada visível que se destaca claramente para quem sabe onde procurar.”
Em julho deste ano, a Microsoft também descobriu e relatou outra campanha de malware fileless, apelidado de Astaroth, que foi projetado para roubar informações confidenciais dos usuários, sem deixar cair qualquer arquivo executável no disco ou instalar qualquer software na máquina da vítima.
Microsoft disse que seu Windows Defender ATP proteção de última geração detecta isso fileless ataques de malware em cada fase infecção através da identificação de comportamentos anômalos e maliciosos, tais como a execução de scripts e ferramentas.
