Tausende von Consumer-PCs sind Opfer von Malware geworden, die sie in Zombies verwandelt.
Microsoft und Cisco Talos veröffentlichten beide umfassende Berichte über die Malware und erklärten, wie der Angriff Benutzer dazu bringt, eine bösartige HTML-Datei herunterzuladen und dann das beliebte Node.js-Framework (das Javascript außerhalb eines Webbrowsers ausführt) und WinDivert (ein Tool zur Erfassung von Netzwerkpaketen) zu verwenden. Apps, um einen Computer zu infizieren und die Kontrolle über ihn zu übernehmen. Die infizierte HTML-Anwendung oder HTA wird normalerweise durch bösartige Anzeigen verbreitet, die über legitime Content Delivery-Dienste wie Amazon Cloudfront gesendet werden.
Sobald die Datei ausgeführt wird, lädt sie zusätzlichen Javascript-Code herunter, der schließlich PowerShell startet und ein schädliches Skript schreibt. Dies geschieht mehrmals, wobei jede Instanz von PowerShell zum nächsten Angriff führt, beginnend mit dem Deaktivieren von Windows Defender Antivirus und endend mit einer JavaScript-Nutzlast, die auf node.exe ausgeführt wird. Die letzte JavaScript-Nutzlast verwandelt das infizierte Gerät in einen Proxy-Zombie, der von einem Angreifer verwendet werden kann, um verschiedene bösartige Aktivitäten auszuführen.
Microsoft nennt die Malware Nodersok, Cisco Talos nennt sie Divergent. Wie auch immer, der Angriff soll in erster Linie alltägliche Verbraucher in den USA und Europa betreffen, und Microsoft sagt, dass 3 % der Begegnungen von Organisationen aus dem Bildungs-, Gesundheits- oder Finanzsektor gesehen wurden.
Es gibt widersprüchliche Theorien darüber, was die Malware tatsächlich tut. Laut Cisco wurde die Malware entwickelt, um Einnahmen durch Klickbetrug zu erzielen, eine Technik zur Generierung betrügerischer Gebühren, die Werbetreibende jedes Jahr Milliarden von Dollar kostet. Microsoft hingegen glaubt, dass die Malware als Relais geschaffen wurde, um auf Netzwerkeinheiten zuzugreifen und bösartigen Code einzuschleusen.
Wie auch immer, der Angriff ist ziemlich heimlich, da er Techniken verwendet, die mit "dateiloser" Malware verbunden sind, oder Malware, die nur wenige Spuren hinterlässt, die von Forschern entdeckt werden können.
„Die Kampagne ist nicht nur deshalb besonders interessant, weil sie fortschrittliche dateilose Techniken verwendet, sondern auch, weil sie auf einer schwer fassbaren Netzwerkinfrastruktur beruht, die dazu führt, dass der Angriff unter dem Radar fliegt“, schrieb Microsoft in einem Blog-Beitrag. „Wir entdeckten diese Kampagne Mitte Juli, als verdächtige Muster bei der anomalen Nutzung von MSHTA.exe aus der Microsoft Defender ATP-Telemetrie auftauchten. "
So schützen Sie Ihren PC vor Nodersok/Divergent
So schwer fassbar diese neu entdeckte Malware auch sein mag, sowohl Microsoft als auch Cisco versprechen, dass ihre Dienste – Windows Defender bzw. Cisco Advanced Malware Protection (AMP) – die Malware erkennen und stoppen können. Allerdings ist nicht jeder PC mit diesen Anti-Malware-Verteidigern ausgestattet und Lösungen von Drittanbietern haben es mit dieser speziellen Malware schwer.
Wenn Sie zu 100 % geschützt sein möchten, empfiehlt Microsoft, auf Ihren Windows-Systemen keine HTA (oder HTML-Anwendungen) auszuführen, insbesondere wenn diese nicht auf einen rechtmäßigen Eigentümer zurückgeführt werden können.
Bildnachweis: Rawpixel.com/Shutterstock
- Beste Antivirus-Software - Top-Software für PC, Mac und…