Tusentals konsument -datorer har blivit offer för skadlig kod som gör dem till zombies.
Microsoft och Cisco Talos publicerade båda omfattande rapporter om skadlig programvara och förklarade hur attacken får användare att ladda ner en skadlig HTML -fil och sedan använder det populära Node.js -ramverket (som kör Javascript utanför en webbläsare) och WinDivert (ett verktyg för paketinsamling av nätverk) appar för att infektera och ta kontroll över en dator. Den infekterade HTML -applikationen, eller HTA, distribueras vanligtvis genom skadliga annonser som skickas via legitima innehållstjänster, som Amazon Cloudfront.
När filen körs laddar den ner ytterligare Javascript -kod som så småningom startar PowerShell och skriver ett skadligt skript. Det händer flera gånger, med varje instans av PowerShell som leder till nästa attack, som börjar med att inaktivera Windows Defender Antivirus och slutar med en JavaScript -nyttolast som körs på node.exe. Den sista JavaScript -nyttolasten förvandlar den infekterade enheten till en proxy -zombie som kan användas av en angripare för att utföra olika skadliga aktiviteter.
Microsoft kallar skadlig programvara för Nodersok medan Cisco Talos kallar det Divergent. Hur som helst sägs att attacken främst riktar sig till vardagliga konsumenter i USA och Europa och Microsoft säger att 3% av mötena har setts av organisationer inom utbildnings-, hälso- eller finanssektorn.
Det finns motstridiga teorier om vad skadlig programvara faktiskt gör. Cisco säger att skadlig programvara var utformad för att generera intäkter med hjälp av klickbedrägeri, en teknik för att generera bedrägliga avgif.webpter som kostar annonsörer miljarder dollar varje år. Microsoft, å andra sidan, tror att skadlig programvara skapades som ett relä för att komma åt nätverksenheter och plantera skadlig kod.
Hur som helst är attacken ganska smygande eftersom den använder tekniker som är associerade med "fillös" skadlig kod eller skadlig kod som lämnar få spår efter för forskare att upptäcka.
"Kampanjen är särskilt intressant inte bara för att den använder avancerade fillösa tekniker, utan också för att den är beroende av en svårfångad nätverksinfrastruktur som gör att attacken flyger under radarn", skrev Microsoft i ett blogginlägg. "Vi avslöjade den här kampanjen i mitten av juli, när misstänkta mönster i den onormala användningen av MSHTA.exe kom fram från Microsoft Defender ATP-telemetri. Under de följande dagarna stod det mer avvikande anmärkningar som uppvisade en tiofaldig ökning av aktiviteten. "
Hur du skyddar din dator från Nodersok/Divergent
Så svårfångad som den nyupptäckta skadliga programvaran kan vara, lovar både Microsoft och Cisco att deras tjänster --- Windows Defender respektive Cisco Advanced Malware Protection (AMP) --- kan upptäcka och stoppa skadlig programvara. Men inte alla datorer är utrustade med dessa anti-malware-försvarare och tredjepartslösningar har en knepig tid med just denna skadliga programvara.
Om du vill vara 100% skyddad föreslår Microsoft att du inte kör HTA (eller HTML -applikationer) på dina Windows -system, särskilt om de inte kan spåra dem tillbaka till en legitim ägare.
Upphovsman: Rawpixel.com/Shutterstock
- Bästa antivirusprogram - Toppprogramvara för PC, Mac och …