Хиљаде потрошачких рачунара постали су жртве злонамерног софтвера који их претвара у зомбије.
И Мицрософт и Цисцо Талос објавили су опсежне извештаје о злонамерном софтверу, објашњавајући како напад тера кориснике да преузму злонамерну ХТМЛ датотеку, а затим користи популарни оквир Ноде.јс (који извршава Јавасцрипт изван веб прегледача) и ВинДиверт (алат за хватање мрежних пакета) апликације да заразе и преузму контролу над рачунаром. Заражена ХТМЛ апликација или ХТА обично се дистрибуира путем злонамерних огласа који се шаљу путем легитимних служби за испоруку садржаја, попут Амазон Цлоудфронт.
Када се датотека покрене, преузима додатни Јавасцрипт код који на крају покреће ПоверСхелл и пише злонамерну скрипту. То се дешава више пута, при чему свака инстанца ПоверСхелл -а води до следећег напада, почевши од онемогућавања Виндовс Дефендер Антивирус -а и завршавајући корисним садржајем ЈаваСцрипт -а који ради на ноде.еке. Коначни ЈаваСцрипт корисни терет претвара заражени уређај у проки зомбија који нападач може користити за извршавање различитих злонамерних активности.
Мицрософт злонамерни софтвер назива Нодерсок, док га Цисцо Талос назива дивергентним. У сваком случају, каже се да је напад првенствено усмјерен на свакодневне потрошаче у Сједињеним Државама и Европи, а Мицрософт каже да су 3% сусрета видјеле организације у образовном, здравственом или финансијском сектору.
Постоје опречне теорије о томе шта малвер заправо ради. Цисцо каже да је злонамерни софтвер осмишљен за остваривање прихода коришћењем кликова, техником генерисања лажних трошкова која оглашиваче кошта милијарде долара сваке године. Мицрософт, с друге стране, верује да је злонамерни софтвер створен као релеј за приступ мрежним ентитетима и постављање злонамерног кода.
У сваком случају, напад је прилично прикривен јер користи технике повезане са злонамерним софтвером „без датотека“ или злонамерним софтвером који оставља неколико трагова иза себе како би их истраживачи открили.
"Кампања је посебно занимљива не само зато што користи напредне технике без датотека, већ и зато што се ослања на недостижну мрежну инфраструктуру која узрокује да напад пролети испод радара", написао је Мицрософт у свом посту на блогу. "Открили смо ову кампању средином јула, када су се из АТП телеметрије Мицрософт Дефендера појавили сумњиви обрасци у аномалној употреби МСХТА.еке. У данима који су услиједили, истакло се више аномалија, показавши и до десет пута повећање активности. "
Како заштитити свој рачунар од Нодерсока/Дивергента
Колико год овај новооткривени злонамерни софтвер био неухватљив, и Мицрософт и Цисцо обећавају да ће њихове услуге --- Виндовс Дефендер и Цисцо Адванцед Малваре Протецтион (АМП) --- моћи да уоче и зауставе злонамерни софтвер. Међутим, није сваки рачунар опремљен таквим заштитницима од злонамерног софтвера, а решења независних произвођача имају проблема са овим злонамерним софтвером.
Ако желите да будете 100% заштићени, Мицрософт предлаже да не покрећете ХТА (или ХТМЛ апликације) на својим Виндовс системима, посебно ако их не могу пратити до легитимног власника.
Заслуге: Равпикел.цом/Схуттерстоцк
- Најбољи антивирусни софтвер - врхунски софтвер за ПЦ, Мац и…