Microsoft предупреждает о редкой вредоносной программе, угоняющей компьютеры Windows

Как избежать трех основных причин утечки данных в 2020 году
Как избежать трех основных причин утечки данных в 2020 году
Октябрь 29, 2019
Новая 0-дневная ошибка Chrome
Новая уязвимость 0-го дня, Chrome под активными атаками!
Ноябрь 3, 2019
Показать все
Microsoft предупреждает о редкой вредоносной программе

Остерегайтесь пользователи Windows!

В Интернете появилось новое поколение вредоносных программ, которые уже заразили тысячи компьютеров по всему миру, и, скорее всего, ваша антивирусная программа не сможет их обнаружить.

Почему? Это потому, что, во-первых, это продвинутая вредоносная программа, а во-вторых, она использует только легитимные встроенные системные утилиты и сторонние инструменты для расширения своей функциональности и компрометации компьютеров, а не использует какой-либо вредоносный фрагмент кода.

Техника создания собственных законных инструментов эффективна и редко встречается в дикой природе, помогая злоумышленникам смешивать свои вредоносные действия с обычной сетевой активностью или задачами системного администрирования, оставляя при этом меньше следов.

Независимо обнаруженные исследователями в области кибербезопасности в Microsoft и Cisco Talos, вредоносные программы, получившие название « Nodersok » и « Divergent », в основном распространяются посредством вредоносной онлайн-рекламы и заражают пользователей с помощью атаки « скачок за скачиванием».

Впервые обнаруженная в середине июля этого года, вредоносная программа была разработана для превращения зараженных компьютеров Windows в прокси-серверы, которые, по словам Microsoft, могут затем использоваться злоумышленниками в качестве ретранслятора для сокрытия вредоносного трафика; в то время как Cisco Talos считает, что прокси-серверы используются для мошенничества с кликами для получения дохода для злоумышленников.

Многоступенчатый процесс заражения включает в себя законные инструменты

Многоступенчатый процесс заражения включает в себя законные инструменты

Заражение начинается, когда вредоносная реклама сбрасывает файл HTML-приложения (HTA) на компьютеры пользователей, который при щелчке запускает ряд полезных данных JavaScript и сценариев PowerShell, которые в конечном итоге загружают и устанавливают вредоносное ПО Nodersok.

«Все соответствующие функции находятся в сценариях и шелл-кодах, которые почти всегда приходят в зашифрованном виде, затем дешифруются и запускаются только в памяти. На диск никогда не записывается вредоносный исполняемый файл», — объясняет Microsoft .

Как показано на диаграмме, код JavaScript подключается к законным облачным сервисам и доменам проектов для загрузки и запуска сценариев второго этапа и дополнительных зашифрованных компонентов, включая:

  • Сценарии PowerShell — попытка отключить антивирус Защитника Windows и обновление Windows.
  • Двоичный шелл- код — пытается повысить привилегии, используя автоматически повышенный COM-интерфейс.
  • Node.exe — реализация Windows популярной платформы Node.js, которая является доверенной и имеет действительную цифровую подпись, выполняет вредоносный JavaScript для работы в контексте доверенного процесса.
  • WinDivert (Windows Packet Divert) — легальная и мощная утилита захвата и обработки сетевых пакетов, которую вредоносное ПО использует для фильтрации и изменения определенных исходящих пакетов.

Наконец, вредоносная программа сбрасывает окончательную полезную нагрузку JavaScript, написанную для инфраструктуры Node.js, которая преобразует скомпрометированную систему в прокси.

 

«Это завершает заражение, в результате которого фильтр сетевых пакетов активен, и машина работает как потенциальный прокси-зомби», — объясняет Microsoft.

 

«Когда машина превращается в прокси, она может использоваться злоумышленниками в качестве ретранслятора для доступа к другим сетевым объектам (веб-сайтам, серверам C & C, взломанным компьютерам и т. Д.), Что позволяет им выполнять скрытые злонамеренные действия».

вредоносный прокси сервер

По словам экспертов Microsoft, прокси-движок на основе Node.js в настоящее время имеет две основные цели: во-первых, он подключает зараженную систему обратно к удаленному управляемому злоумышленником серверу управления, а во-вторых, получает HTTP-запросы. прокси обратно к нему.

малварь

С другой стороны, эксперты Cisco Talos пришли к выводу, что злоумышленники используют этот прокси-компонент, чтобы дать команду зараженным системам переходить на произвольные веб-страницы для монетизации и мошенничества с кликами.

Nodersok заразил тысячи пользователей Windows

По данным Microsoft, вредоносные программы Nodersok уже заразили тысячи машин за последние несколько недель, большинство из которых находится в Соединенных Штатах и ​​Европе.

В то время как вредоносная программа в основном ориентирована на домашних пользователей Windows, исследователи наблюдали около 3% атак на организации из отраслей промышленности, включая образование, здравоохранение, финансы, розничную торговлю, а также деловые и профессиональные услуги.

Поскольку в кампании по борьбе с вредоносными программами используются передовые методы без файлов, и она использует неуловимую сетевую инфраструктуру за счет использования законных инструментов, кампания атаки оказалась незаметной, что усложнило ее обнаружение традиционными антивирусными программами на основе сигнатур.

«Если мы исключим все чистые и легитимные файлы, использованные в результате атаки, все, что останется, — это исходный файл HTA, окончательная полезная нагрузка на основе Node.js и набор зашифрованных файлов. Традиционные подписи на основе файлов не способны противостоять сложным угрозы, подобные этой, «говорит Microsoft.

Тем не менее, компания утверждает, что «поведение вредоносного ПО создало видимый след, который явно выделяется для всех, кто знает, где искать».

В июле этого года Microsoft также обнаружила и сообщила о другой вредоносной программе, получившей название Astaroth , которая была разработана для кражи конфиденциальной информации пользователей, без потери какого-либо исполняемого файла на диске или установки какого-либо программного обеспечения на компьютер жертвы.

Microsoft заявила, что защита нового поколения Защитника Windows ATP ATP обнаруживает атаки вредоносных программ без файлов на каждом этапе заражения, обнаруживая аномальное и вредоносное поведение, такое как выполнение сценариев и инструментов.

0

Автор публикации

не в сети 1 месяц

Александр Никитюк

16
Комментарии: 13Публикации: 161Регистрация: 17-05-2019
ПОДЕЛИСЬ С ДРУЗЬЯМИ

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

два × пять =

Авторизация
*
*

двадцать − тринадцать =

Регистрация
*
*
*
Пароль не введен
*

11 + семь =

Генерация пароля

двенадцать + двадцать =