Tuhanded tarbearvutid on langenud pahavara ohvriks, mis muudab need zombideks.
Microsoft ja Cisco Talos avaldasid mõlemad põhjalikud aruanded pahavara kohta, selgitades, kuidas rünnak paneb kasutajad pahatahtliku HTML -faili alla laadima, seejärel kasutab populaarset Node.js raamistikku (mis käivitab Javascripti väljaspool veebibrauserit) ja WinDivert (võrgupakettide püüdmise tööriist) rakendused arvuti nakatamiseks ja juhtimiseks. Nakatunud HTML -i rakendust ehk HTA -d levitatakse tavaliselt pahatahtlike reklaamide kaudu, mis saadetakse seadusliku sisu edastamise teenuste kaudu, nagu Amazon Cloudfront.
Kui fail käivitub, laadib see alla täiendava Javascripti koodi, mis käivitab lõpuks PowerShelli ja kirjutab pahatahtliku skripti. Seda juhtub mitu korda, kusjuures iga PowerShelli eksemplar viib järgmise rünnakuni, alustades Windows Defenderi viirusetõrje keelamisest ja lõpetades JavaScripti kasuliku koormusega, mis töötab saidil node.exe. Lõplik JavaScripti kasulik koormus muudab nakatunud seadme puhverserveriks, mida ründaja saab kasutada mitmesuguste pahatahtlike toimingute tegemiseks.
Microsoft nimetab pahavara Nodersokiks, Cisco Talos aga erinevaks. Mõlemal juhul on rünnak suunatud peamiselt Ameerika Ühendriikide ja Euroopa igapäevastele tarbijatele ning Microsofti sõnul nägid 3% kohtumistest haridus-, tervishoiu- või finantssektori organisatsioonid.
On olemas vastuolulisi teooriaid selle kohta, mida pahavara tegelikult teeb. Cisco sõnul on pahavara loodud tulu teenimiseks, kasutades klikkpettusi-meetodit pettuslike tasude tekitamiseks, mis maksab reklaamijatele igal aastal miljardeid dollareid. Microsoft aga usub, et pahavara loodi edastusena võrguüksustele juurdepääsuks ja pahatahtliku koodi istutamiseks.
Igal juhul on rünnak üsna salajane, kuna see kasutab tehnikaid, mis on seotud "failivaba" pahavaraga või pahavaraga, mis jätab teadlastele avastamiseks vähe jälgi.
"Kampaania on eriti huvitav mitte ainult seetõttu, et see kasutab täiustatud failivabu tehnikaid, vaid ka seetõttu, et see tugineb raskesti tabatavale võrguinfrastruktuurile, mis paneb rünnaku radari alla lendama," kirjutas Microsoft ajaveebi postituses. "Avasime selle kampaania juuli keskel, kui Microsoft Defender ATP telemeetriast ilmnesid kahtlased mustrid MSHTA.exe ebanormaalses kasutamises. Järgnevatel päevadel paistis silma rohkem kõrvalekaldeid, mis näitasid aktiivsuse suurenemist kuni kümnekordselt. "
Kuidas kaitsta oma arvutit Nodersok/Divergent eest
Nii haavatav kui see äsja avastatud pahavara olla võib, lubavad nii Microsoft kui ka Cisco, et nende teenused-vastavalt Windows Defender ja Cisco Advanced Malware Protection (AMP)-suudavad pahavara märgata ja peatada. Kuid mitte iga arvuti pole varustatud nende pahavaratõrje kaitsjatega ja kolmandate osapoolte lahendustel on selle konkreetse pahavaraga keeruline aeg.
Kui soovite olla 100% kaitstud, soovitab Microsoft teil mitte käivitada oma Windowsi süsteemides HTA -d (või HTML -rakendusi), eriti kui nad ei suuda neid seadusliku omaniku juurde tuvastada.
Krediit: Rawpixel.com/Shutterstock
- Parim viirusetõrjetarkvara - parim tarkvara arvutile, Macile ja…