Há uma nova variedade de malware fazendo rondas na Internet que já infectou milhares de computadores em todo o mundo e, provavelmente, seu programa antivírus não seria capaz de detectá-lo.
Por quê? Isso ocorre porque, primeiro, é um malware avançado sem arquivo e, em segundo lugar, utiliza apenas utilitários de sistema legítimos e ferramentas de terceiros para estender sua funcionalidade e comprometer os computadores, em vez de usar qualquer código malicioso.
A técnica de trazer suas próprias ferramentas legítimas é eficaz e raramente foi identificada na natureza, ajudando os invasores a se misturar em suas atividades maliciosas com atividades regulares de rede ou tarefas de administração do sistema, deixando menos pegadas.
Descoberto independentemente por pesquisadores de segurança cibernética da Microsoft e Cisco Talos, o malware – apelidado de ” Nodersok ” e ” Divergent ” – está sendo distribuído principalmente por meio de anúncios on-line maliciosos e infectando usuários usando um ataque de download drive-by.
Detectado pela primeira vez em julho deste ano, o malware foi projetado para transformar computadores Windows infectados em proxies, que, de acordo com a Microsoft, podem ser usados pelos invasores como retransmissão para ocultar o tráfego malicioso; enquanto o Cisco Talos acredita que os proxies são usados para cliques fraudulentos para gerar receita para os invasores.
Processo de infecção em vários estágios envolve ferramentas legítimas
A infecção começa quando anúncios mal-intencionados lançam o arquivo de aplicativo HTML (HTA) nos computadores dos usuários, que, quando clicados, executam uma série de cargas de JavaScript e scripts do PowerShell que eventualmente baixam e instalam o malware Nodersok.
“Todas as funcionalidades relevantes residem em scripts e códigos de shell que quase sempre são criptografados, são descriptografados e executados apenas na memória. Nenhum executável malicioso é gravado no disco”, explica a Microsoft .
Conforme ilustrado no diagrama, o código JavaScript se conecta a serviços de nuvem legítimos e domínios de projeto para baixar e executar scripts de segundo estágio e componentes criptografados adicionais, incluindo:
- Scripts do PowerShell – tente desativar o antivírus do Windows Defender e a atualização do Windows.
- Código Binário da Shell – tenta escalar privilégios usando a interface COM auto-elevada.
- Node.exe – A implementação do Windows da popular estrutura Node.js., que é confiável e tem uma assinatura digital válida, executa JavaScript malicioso para operar no contexto de um processo confiável.
- WinDivert (desvio de pacote do Windows) – um utilitário legítimo e poderoso de captura e manipulação de pacotes de rede que o malware usa para filtrar e modificar determinados pacotes de saída.
Por fim, o malware descarta a carga útil final do JavaScript criada para a estrutura Node.js. que converte o sistema comprometido em um proxy.
“Isso conclui a infecção, no final da qual o filtro de pacotes de rede está ativo e a máquina está funcionando como um potencial zumbi proxy”, explica a Microsoft.
“Quando uma máquina se transforma em um proxy, ela pode ser usada pelos invasores como retransmissão para acessar outras entidades da rede (sites, servidores C&C, máquinas comprometidas etc.), o que pode permitir a realização de atividades maliciosas furtivas”.
De acordo com os especialistas da Microsoft, o mecanismo de proxy baseado no Node.js. atualmente tem dois objetivos principais: primeiro, ele conecta o sistema infectado a um servidor de comando e controle remoto, controlado por atacantes, e segundo, recebe solicitações HTTP para procurá-lo de volta.
Por outro lado, especialistas da Cisco Talos concluem que os invasores estão usando esse componente de proxy para comandar os sistemas infectados a navegar em páginas arbitrárias da Web para monetização e clicar em propósitos de fraude.
Nodersok infectou milhares de usuários do Windows
Segundo a Microsoft, o malware Nodersok já infectou milhares de máquinas nas últimas semanas, com a maioria dos alvos localizados nos Estados Unidos e na Europa.
Enquanto o malware se concentra principalmente na segmentação de usuários domésticos do Windows, os pesquisadores observaram cerca de 3% dos ataques direcionados a organizações de setores da indústria, incluindo educação, saúde, finanças, varejo, serviços comerciais e profissionais.
Como a campanha de malware emprega técnicas avançadas sem arquivo e conta com uma infraestrutura de rede ilusória, usando ferramentas legítimas, a campanha de ataque passou despercebida, dificultando a detecção por programas antivírus tradicionais baseados em assinaturas.
“Se excluirmos todos os arquivos limpos e legítimos aproveitados pelo ataque, tudo o que resta é o arquivo HTA inicial, a carga útil final baseada em Node.js. e vários arquivos criptografados. As assinaturas tradicionais baseadas em arquivo são inadequadas para combater sofisticados ameaças como essa “, diz a Microsoft.
No entanto, a empresa diz que o “comportamento do malware produziu uma pegada visível que se destaca claramente para quem sabe onde procurar”.
Esse ano, a Microsoft também descobriu e relatou outra campanha de malware sem arquivo , apelidada de Astaroth , que foi projetada para roubar informações confidenciais dos usuários, sem soltar nenhum arquivo executável no disco ou instalar qualquer software na máquina da vítima.
A Microsoft disse que a proteção de próxima geração do Windows Defender ATP detecta esses ataques de malware sem arquivo em cada estágio da infecção, detectando comportamentos anômalos e maliciosos, como a execução de scripts e ferramentas.
O post Microsoft alerta para um novo malware raro sem arquivo que sequestra computadores com Windows apareceu primeiro em Mundo Hacker.
Fonte: http://feedproxy.google.com/~r/mundohackeroficial/~3/KRZXG5pD5Xk/
Reviewed by MeuSPY
on
setembro 27, 2019
Rating:
Nenhum comentário:
Antes de deixar um comentário, acesse o site meuspy.com e veja como é fácil espionar celulares.