Tūkstančiai vartotojų kompiuterių tapo kenkėjiškų programų, kurios juos paverčia zombiais, aukomis.
Tiek „Microsoft“, tiek „Cisco Talos“ paskelbė išsamias ataskaitas apie kenkėjiškas programas, paaiškindamos, kaip ataka priverčia vartotojus atsisiųsti kenkėjišką HTML failą, o tada naudoja populiarią „Node.js“ sistemą (kuri vykdo „Javascript“ ne žiniatinklio naršyklėje) ir „WinDivert“ (tinklo paketų fiksavimo įrankis) programomis užkrėsti ir valdyti kompiuterį. Užkrėsta HTML programa arba HTA paprastai platinama naudojant kenkėjiškus skelbimus, siunčiamus per teisėtas turinio pristatymo paslaugas, pvz., „Amazon Cloudfront“.
Kai failas paleidžiamas, jis atsisiunčia papildomą „Javascript“ kodą, kuris galiausiai paleidžia „PowerShell“ ir parašo kenkėjišką scenarijų. Tai atsitinka kelis kartus, kai kiekvienas „PowerShell“ egzempliorius sukelia kitą ataką, pradedant nuo „Windows Defender Antivirus“ išjungimo ir baigiant „JavaScript“ naudinguoju kroviniu, kuris veikia „node.exe“. Galutinė „JavaScript“ apkrova užkrėstą įrenginį paverčia įgaliotu zombiu, kurį užpuolikas gali naudoti įvairiai kenkėjiškai veiklai vykdyti.
„Microsoft“ kenkėjišką programą vadina „Nodersok“, o „Cisco Talos“ - „Divergent“. Bet kuriuo atveju sakoma, kad ataka pirmiausia skirta kasdieniams JAV ir Europos vartotojams, o „Microsoft“ teigia, kad 3% susitikimų matė švietimo, sveikatos priežiūros ar finansų sektoriaus organizacijos.
Yra prieštaringų teorijų, ką kenkėjiška programa iš tikrųjų daro. „Cisco“ teigia, kad kenkėjiška programa buvo sukurta taip, kad gautų pajamų naudojant sukčiavimą paspaudimu-metodą, padedantį sukčiauti mokesčius, kurie reklamuotojams kasmet kainuoja milijardus dolerių. Kita vertus, „Microsoft“ mano, kad kenkėjiška programa buvo sukurta kaip perdavimo prieiga prie tinklo objektų ir kenkėjiško kodo įdiegimas.
Bet kokiu atveju ataka yra gana slapta, nes ji naudoja metodus, susijusius su „be failų“ kenkėjiška programa arba kenkėjiška programa, kuri palieka mažai pėdsakų tyrėjams.
„Kampanija yra ypač įdomi ne tik dėl to, kad joje naudojami pažangūs be failų metodai, bet ir todėl, kad ji remiasi sunkiai pasiekiama tinklo infrastruktūra, dėl kurios ataka skrenda po radaru“, - rašė „Microsoft“ tinklaraščio įraše. "Šią kampaniją atskleidėme liepos viduryje, kai iš" Microsoft Defender ATP "telemetrijos paaiškėjo įtartini MSHTA.exe nenormalaus naudojimo modeliai. Vėliau sekė dar daugiau anomalijų, rodančių iki dešimties kartų didesnį aktyvumą. "
Kaip apsaugoti kompiuterį nuo „Nodersok/Divergent“
Kad ir kokia sudėtinga būtų ši naujai atrasta kenkėjiška programa, „Microsoft“ ir „Cisco“ žada, kad jų paslaugos-atitinkamai „Windows Defender“ ir „Cisco Advanced Malware Protection“ (AMP)-gali pastebėti ir sustabdyti kenkėjišką programą. Tačiau ne kiekvienas kompiuteris yra aprūpintas šiais kenkėjiškų programų gynėjais, o trečiųjų šalių sprendimai su šia konkrečia kenkėjiška programa susiduria sudėtingai.
Jei norite būti 100% apsaugotas, „Microsoft“ siūlo nepaleisti HTA (arba HTML programų) „Windows“ sistemose, ypač jei jos negali atsekti teisėto savininko.
Kreditas: Rawpixel.com/Shutterstock
- Geriausia antivirusinė programinė įranga - geriausia programinė įranga, skirta kompiuteriams, „Mac“ ir…