fbpx
contato@gencorio.com.br+55(21) 4042-4086

logo

Usuários do Windows cuidado! - Genco Rio

publicado em:30/09/19 3:45 PM por: Renata Gonçalves MalwareNotícia

Microsoft alerta para um novo malware raro sem arquivo que sequestra computadores com Windows.

Há uma nova variedade de malware fazendo rondas na Internet que já infectou milhares de computadores em todo o mundo e, provavelmente, seu programa antivírus não seria capaz de detectá-lo.

Mas por quê isso ocorre?

Porque, primeiro, é um malware avançado sem arquivo e, em segundo lugar, utiliza apenas utilitários de sistema legítimos e ferramentas de terceiros para estender sua funcionalidade e comprometer os computadores, em vez de usar qualquer código malicioso.

A técnica de trazer suas próprias ferramentas legítimas é eficaz e raramente foi identificada na natureza, ajudando os invasores a se misturar em suas atividades maliciosas com atividades regulares de rede ou tarefas de administração do sistema, deixando menos pegadas.

Descoberto independentemente por pesquisadores de segurança cibernética da Microsoft e Cisco Talos, o malware – apelidado de ” Nodersok ” e ” Divergent ” – está sendo distribuído principalmente por meio de anúncios on-line maliciosos e infectando usuários usando um ataque de download drive-by.

Detectado pela primeira vez em meados de julho deste ano, o malware foi projetado para transformar computadores Windows infectados em proxies, que, de acordo com a Microsoft, podem ser usados ​​pelos invasores como retransmissão para ocultar o tráfego malicioso; enquanto o Cisco Talos acredita que os proxies são usados ​​para cliques fraudulentos para gerar receita para os invasores.

Processo de infecção em vários estágios envolve ferramentas legítimas

malware attack flow

A infecção começa quando anúncios mal-intencionados lançam o arquivo de aplicativo HTML (HTA)nos computadores dos usuários, que, quando clicados, executam uma série de cargas de JavaScript e scripts do PowerShell que eventualmente baixam e instalam o malware Nodersok.

“Todas as funcionalidades relevantes residem em scripts e códigos de shell que quase sempre são criptografados, são descriptografados e executados apenas na memória. Nenhum executável malicioso é gravado no disco”, explica a Microsoft .

Conforme ilustrado no diagrama, o código JavaScript se conecta a serviços de nuvem legítimos e domínios de projeto para baixar e executar scripts de segundo estágio e componentes criptografados adicionais, incluindo:

  • Scripts do PowerShell – tente desativar o antivírus do Windows Defender e a atualização do Windows.
  • Código Binário da Shell – tenta escalar privilégios usando a interface COM auto-elevada.
  • Node.exe – A implementação do Windows da popular estrutura Node.js., que é confiável e tem uma assinatura digital válida, executa JavaScript malicioso para operar no contexto de um processo confiável.
  • WinDivert (desvio de pacote do Windows) – um utilitário legítimo e poderoso de captura e manipulação de pacotes de rede que o malware usa para filtrar e modificar determinados pacotes de saída.

Por fim, o malware descarta a carga útil final do JavaScript criada para a estrutura Node.js. que converte o sistema comprometido em um proxy.

“Isso conclui a infecção, no final da qual o filtro de pacotes de rede está ativo e a máquina está funcionando como um potencial zumbi proxy”, explica a Microsoft.

“Quando uma máquina se transforma em um proxy, ela pode ser usada pelos invasores como retransmissão para acessar outras entidades da rede (sites, servidores C&C, máquinas comprometidas etc.), o que pode permitir a realização de atividades maliciosas furtivas”.

 

malware proxy server

De acordo com os especialistas da Microsoft, o mecanismo de proxy baseado no Node.js. atualmente tem dois objetivos principais: primeiro, ele conecta o sistema infectado a um servidor de comando e controle remoto, controlado por atacantes, e segundo, recebe solicitações HTTP para procurá-lo de volta.

 

maware click fraud

Por outro lado, especialistas da Cisco Talos concluem que os invasores estão usando esse componente de proxy para comandar os sistemas infectados a navegar em páginas arbitrárias da Web para monetização e clicar em propósitos de fraude.

Nodersok infectou milhares de usuários do Windows

Segundo a Microsoft, o malware Nodersok já infectou milhares de máquinas nas últimas semanas, com a maioria dos alvos localizados nos Estados Unidos e na Europa.

Enquanto o malware se concentra principalmente na segmentação de usuários domésticos do Windows, os pesquisadores observaram cerca de 3% dos ataques direcionados a organizações de setores da indústria, incluindo educação, saúde, finanças, varejo, serviços comerciais e profissionais

Como a campanha de malware emprega técnicas avançadas sem arquivo e conta com uma infraestrutura de rede ilusória, usando ferramentas legítimas, a campanha de ataque passou despercebida, dificultando a detecção por programas antivírus tradicionais baseados em assinaturas.

“Se excluirmos todos os arquivos limpos e legítimos aproveitados pelo ataque, tudo o que resta é o arquivo HTA inicial, a carga útil final baseada em Node.js. e vários arquivos criptografados. As assinaturas tradicionais baseadas em arquivo são inadequadas para combater sofisticados ameaças como essa “, diz a Microsoft.

No entanto, a empresa diz que o “comportamento do malware produziu uma pegada visível que se destaca claramente para quem sabe onde procurar”.

Em julho deste ano, a Microsoft também descobriu e relatou outra campanha de malware sem arquivo, apelidada de Astaroth , que foi projetada para roubar informações confidenciais dos usuários, sem soltar nenhum arquivo executável no disco ou instalar qualquer software na máquina da vítima.

A Microsoft disse que a proteção de próxima geração do Windows Defender ATP detecta esses ataques de malware sem arquivo em cada estágio da infecção, detectando comportamentos anômalos e maliciosos, como a execução de scripts e ferramentas.

Fonte: The Hacker News





Comentários



Adicionar Comentário




19 − três =