Milhares de PCs de consumo foram vítimas de malware que os transforma em zumbis.
A Microsoft e a Cisco Talos publicaram relatórios abrangentes sobre o malware, explicando como o ataque leva os usuários a baixar um arquivo HTML malicioso e, em seguida, usa a popular estrutura Node.js (que executa Javascript fora de um navegador da web) e WinDivert (uma ferramenta de captura de pacotes de rede) aplicativos para infectar e assumir o controle de um computador. O aplicativo HTML infectado, ou HTA, é normalmente distribuído por meio de anúncios maliciosos enviados por meio de serviços legítimos de entrega de conteúdo, como o Amazon Cloudfront.
Depois que o arquivo é executado, ele baixa o código Javascript adicional que eventualmente inicia o PowerShell e grava um script malicioso. Isso acontece várias vezes, com cada instância do PowerShell levando ao próximo ataque, começando com a desativação do Windows Defender Antivirus e terminando com uma carga útil de JavaScript que é executada em node.exe. A carga útil final do JavaScript transforma o dispositivo infectado em um zumbi proxy que pode ser usado por um invasor para executar várias atividades maliciosas.
A Microsoft chama o malware de Nodersok, enquanto o Cisco Talos o chama de Divergente. De qualquer forma, diz-se que o ataque visa principalmente consumidores comuns nos Estados Unidos e na Europa, e a Microsoft diz que 3% dos encontros foram vistos por organizações nos setores de educação, saúde ou financeiro.
Existem teorias conflitantes sobre o que o malware realmente faz. A Cisco diz que o malware foi projetado para gerar receita usando cliques fraudulentos, uma técnica para gerar cobranças fraudulentas que custa aos anunciantes bilhões de dólares a cada ano. A Microsoft, por outro lado, acredita que o malware foi criado como um retransmissor para acessar entidades de rede e plantar código malicioso.
Seja qual for o caso, o ataque é bastante furtivo, pois usa técnicas associadas a malware "sem arquivo", ou malware que deixa poucos rastros para os pesquisadores descobrirem.
“A campanha é particularmente interessante não apenas porque emprega técnicas avançadas sem arquivo, mas também porque depende de uma infraestrutura de rede evasiva que faz com que o ataque passe despercebido”, escreveu a Microsoft em um blog. "Descobrimos essa campanha em meados de julho, quando padrões suspeitos no uso anômalo de MSHTA.exe emergiram da telemetria ATP do Microsoft Defender. Nos dias que se seguiram, mais anomalias se destacaram, mostrando um aumento de até dez vezes na atividade. "
Como proteger seu PC de Nodersok / Divergent
Por mais evasivo que esse malware recém-descoberto possa ser, a Microsoft e a Cisco prometem que seus serviços - Windows Defender e Cisco Advanced Malware Protection (AMP), respectivamente - podem detectar e interromper o malware. No entanto, nem todo PC está equipado com esses defensores anti-malware e as soluções de terceiros enfrentam dificuldades com esse malware específico.
Se você deseja estar 100% protegido, a Microsoft sugere que você não execute HTA (ou aplicativos HTML) em seus sistemas Windows, especialmente se eles não puderem rastreá-los até um proprietário legítimo.
Crédito: Budap.com/Shutterstock
- Melhor software antivírus - Top software para PC, Mac e …
