Migliaia di PC consumer sono caduti vittima di malware che li trasforma in zombie.
Sia Microsoft che Cisco Talos hanno pubblicato rapporti completi sul malware, spiegando in che modo l'attacco induce gli utenti a scaricare un file HTML dannoso, quindi utilizza il popolare framework Node.js (che esegue Javascript al di fuori di un browser Web) e WinDivert (uno strumento di acquisizione di pacchetti di rete) app per infettare e prendere il controllo di un computer. L'applicazione HTML infetta, o HTA, viene generalmente distribuita tramite annunci dannosi inviati tramite servizi di distribuzione di contenuti legittimi, come Amazon Cloudfront.
Una volta eseguito, il file scarica codice Javascript aggiuntivo che alla fine avvia PowerShell e scrive uno script dannoso. Ciò accade più volte, con ogni istanza di PowerShell che porta all'attacco successivo, iniziando con la disabilitazione di Windows Defender Antivirus e finendo con un payload JavaScript che viene eseguito su node.exe. Il payload JavaScript finale trasforma il dispositivo infetto in uno zombie proxy che può essere utilizzato da un utente malintenzionato per eseguire varie attività dannose.
Microsoft chiama il malware Nodersok mentre Cisco Talos lo chiama Divergent. In entrambi i casi, si dice che l'attacco colpisca principalmente i consumatori comuni negli Stati Uniti e in Europa e Microsoft afferma che il 3% degli incontri è stato visto da organizzazioni nei settori dell'istruzione, della sanità o della finanza.
Esistono teorie contrastanti su ciò che fa effettivamente il malware. Cisco afferma che il malware è stato progettato per generare entrate utilizzando la frode sui clic, una tecnica per generare addebiti fraudolenti che costa agli inserzionisti miliardi di dollari ogni anno. Microsoft, d'altra parte, crede che il malware sia stato creato come un relay per accedere alle entità di rete e piantare codice dannoso.
In ogni caso, l'attacco è piuttosto furtivo in quanto utilizza tecniche associate a malware "senza file", o malware che lascia poche tracce da scoprire per i ricercatori.
"La campagna è particolarmente interessante non solo perché utilizza tecniche avanzate senza file, ma anche perché si basa su un'infrastruttura di rete sfuggente che fa volare l'attacco sotto il radar", ha scritto Microsoft in un post sul blog. "Abbiamo scoperto questa campagna a metà luglio, quando sono emersi modelli sospetti nell'uso anomalo di MSHTA.exe dalla telemetria ATP di Microsoft Defender. Nei giorni seguenti, sono emerse più anomalie, mostrando un aumento di dieci volte dell'attività. "
Come proteggere il tuo PC da Nodersok/Divergent
Per quanto sfuggente possa essere questo malware appena scoperto, sia Microsoft che Cisco promettono che i loro servizi, rispettivamente Windows Defender e Cisco Advanced Malware Protection (AMP), possono individuare e bloccare il malware. Tuttavia, non tutti i PC sono dotati di questi difensori antimalware e le soluzioni di terze parti hanno difficoltà con questo particolare malware.
Se vuoi essere protetto al 100%, Microsoft suggerisce di non eseguire HTA (o applicazioni HTML) sui tuoi sistemi Windows, soprattutto se non possono risalire a un legittimo proprietario.
Credito: Rawpixel.com/Shutterstock
- Il miglior software antivirus - Il miglior software per PC, Mac e…