אלפי מחשבים צרכניים נפלו קורבן לתוכנות זדוניות שהופכות אותם לזומבים.
מיקרוסופט וסיסקו טאלוס פרסמו שניהם דוחות מקיפים אודות התוכנה הזדונית, והסבירו כיצד ההתקפה גורמת למשתמשים להוריד קובץ HTML זדוני ואז משתמשת במסגרת הפופולרית Node.js (המבצעת Javascript מחוץ לדפדפן אינטרנט) וב- WinDivert (כלי לכידת מנות רשת) אפליקציות להדביק ולשלוט במחשב. אפליקציית HTML הנגועה, או HTA, מופצת בדרך כלל באמצעות מודעות זדוניות שנשלחות באמצעות שירותי אספקת תוכן לגיטימיים, כמו Amazon Cloudfront.
לאחר הפעלת הקובץ, הוא מוריד קוד Javascript נוסף שבסופו של דבר מפעיל את PowerShell וכותב סקריפט זדוני. זה קורה מספר פעמים, כאשר כל מופע של PowerShell מוביל להתקפה הבאה, החל מהשבתת אנטי וירוס Windows Defender וכלה במטען JavaScript הפועל ב- node.exe. המטען הסופי של JavaScript הופך את המכשיר הנגוע לזומבי פרוקסי שיכול לתקוף להשתמש בו לביצוע פעילויות זדוניות שונות.
מיקרוסופט מכנה את התוכנה הזדונית Nodersok ואילו סיסקו טאלוס מכנה אותה Divergent. כך או כך, הפיגוע מתייחס בעיקר לצרכנים יומיומיים בארצות הברית ובאירופה, ומיקרוסופט אומרת כי 3% מהמפגשים נראו על ידי ארגונים במגזר החינוך, הבריאות או הפיננסים.
ישנן תיאוריות סותרות לגבי מה התוכנה הזדונית עושה בפועל. סיסקו אומרת שהתוכנה הזדונית נועדה לייצר הכנסות באמצעות הונאת קליקים, טכניקה ליצירת חיובים הונאתיים שעולה למפרסמים מיליארדי דולרים מדי שנה. מצד שני, מיקרוסופט מאמינה שהתוכנה הזדונית נוצרה כממסר לגישה לישויות רשת ונטילת קוד זדוני.
לא משנה מה המקרה, ההתקפה חמקנית למדי מכיוון שהיא משתמשת בטכניקות הקשורות לתוכנה זדונית "נטולת קבצים", או תוכנה זדונית שמשאירה מעט עקבות לחוקרים לגלות.
"הקמפיין מעניין במיוחד לא רק בגלל שהוא משתמש בטכניקות מתקדמות ללא קובץ, אלא גם בגלל שהוא נשען על תשתית רשת חמקמקה שגורמת להתקפה לעוף מתחת לרדאר", כתבה מיקרוסופט בפוסט בבלוג. "חשפנו את הקמפיין הזה באמצע יולי, כאשר דפוסים חשודים בשימוש חריג ב- MSHTA.exe עלו מטלמטריה של Microsoft Defender ATP. בימים שלאחר מכן בלטו חריגות נוספות שהופיעו בעלייה של פי עשרה בפעילות. "
כיצד להגן על המחשב האישי שלך מפני Nodersok/Divergent
חמקמק ככל שתהיה תוכנה זדונית חדשה זו, הן Microsoft והן סיסקו מבטיחות ששירותיהן --- Windows Defender ו- Cisco Advanced Malware Protection (AMP), בהתאמה --- יכולים לאתר ולעצור את התוכנה הזדונית. עם זאת, לא כל מחשב מצויד במגנים נגד תוכנות זדוניות ולפתרונות של צד שלישי יש זמן לא פשוט עם תוכנה זדונית מסוימת זו.
אם אתה רוצה להיות מוגן ב -100%, מיקרוסופט מציעה שלא להפעיל HTA (או יישומי HTML) במערכות Windows שלך, במיוחד אם הם לא יכולים לעקוב אחריהם לבעלים לגיטימי.
אשראי: Rawpixel.com/Shutterstock
- תוכנת האנטי וירוס הטובה ביותר - התוכנה המובילה עבור מחשבים אישיים, Mac ו- …