Novos malwares identificados pela Microsoft e Cisco Talos afetaram milhares de PCs nos Estados Unidos e na Europa e transformam sistemas em proxies para a realização de atividades maliciosas, disseram as empresas.
O que é o Nodersok?
A ameaça sem arquivo (fileless) – chamada Nodersok pela Microsoft e Divergent pela Cisco Talos – possui muitos de seus próprios componentes, mas também aproveita as ferramentas existentes para realizar seu trabalho sujo. O malware utiliza o Node.js que é usado por muitos aplicativos Web e o WinDivert, um utilitário de captura e manipulação de pacotes de rede, para transformar os sistemas em proxies involuntários.
Pesquisadores da Microsoft afirmam que, uma vez que a Nodersok transforma máquinas em proxies, as utiliza como
…um retransmissor para acessar outras entidades da rede (sites, servidores C&C, máquinas comprometidas etc.), o que lhes permite realizar atividades maliciosas furtivas…
disse a empresa. em uma postagem do blog.
Os pesquisadores do Cisco Talos, por outro lado, disseram que os proxies criados pelo Divergent são usados para realizar fraudes por clique. Além disso, o malware tem características semelhantes às observadas em outros malware de fraude de clique, como o Kovter, informou a empresa em um post no blog.
Como o ataque funciona?
A infecção por Nodersok é mais ou menos um ataque de dois estágios que baixa vários componentes no PC de um usuário. Os sistemas são afetados inicialmente quando um usuário executa um arquivo HTA como um download do navegador, clicando nele ou navegando em um anúncio malicioso, de acordo com a Microsoft.
O código JavaScript no arquivo HTA baixa um componente do segundo estágio na forma de outro arquivo JavaScript ou um arquivo XSL que contém o código JavaScript. Esse componente inicia um comando do PowerShell oculto dentro de uma variável de ambiente e inicia instâncias adicionais do PowerShell, de acordo com a Microsoft.
Os comandos do PowerShell baixam e executam componentes criptografados que, entre outras coisas, tentam desativar o Windows Defender Antivirus e o Windows Update e iniciam um código de shell binário que tenta elevar privilégios na máquina infectada. A carga final do malware é um módulo JavaScript escrito na estrutura do Node.js. que pode transformar a máquina em um proxy, disse a Microsoft.
Como evitar
Para evitar a infecção, a Microsoft está aconselhando as pessoas a não executarem arquivos HTA encontrados em seus sistemas, especialmente aqueles que não se lembram de baixar ou cuja origem não conseguem identificar, informou a empresa.
Outra opção é utilizar programas de antivírus que estejam preparados para reconhecer e remover este tipo de ameaça. Segundo o pessoal da Microsoft o próprio Windows defender está apto a fazer isso, então podemos ficar seguro que a maioria dos antivírus também esta 😊!
Fonte: threatpost.com