El nuevo malware identificado por Microsoft y Cisco Talos ha afectado a miles de PC en Estados Unidos y Europa y convierte los sistemas en servidores proxy para realizar actividades maliciosas, dijeron las compañías.
La amenaza sin archivos, llamada Nodersok por Microsoft y Divergent por Cisco Talos, tiene muchos de sus propios componentes, pero también aprovecha las herramientas existentes para hacer su trabajo sucio. El malware aprovecha el popular marco Node.js utilizado por muchas aplicaciones web y WinDivert , una utilidad de captura y manipulación de paquetes de red, para convertir los sistemas en servidores proxy involuntarios.
Si bien ambas compañías publicaron informes sobre el malware el miércoles en publicaciones de blog separadas, cada una tenía una opinión diferente sobre exactamente lo que hace.
Los investigadores de Microsoft afirman que una vez que Nodersok convierte las máquinas en servidores proxy, las utiliza como «un relé para acceder a otras entidades de la red (sitios web, servidores de C&C, máquinas comprometidas, etc.), que pueden permitirles realizar actividades maliciosas sigilosas», dijo la compañía en una entrada de blog .
Los investigadores de Cisco Talos, por otro lado, dijeron que los proxies creados por Divergent se utilizan para realizar fraudes por clic. Además, el malware tiene características similares a las observadas en otros malware de fraude de clics, como Kovter, dijo la compañía en una publicación de blog .
Se cree que el malware todavía está en desarrollo activo, según Cisco Talos.
La infección por Nodersok es más o menos un ataque en dos etapas que descarga múltiples componentes a la PC de un usuario. Los sistemas se ven afectados inicialmente cuando un usuario ejecuta un archivo HTA como descarga del navegador haciendo clic en él o navegando en un anuncio malicioso, según Microsoft.
El código JavaScript en el archivo HTA luego descarga un componente de la segunda etapa en forma de otro archivo JavaScript o un archivo XSL que contiene el código JavaScript. Este componente lanza un comando de PowerShell oculto dentro de una variable de entorno y lanza instancias adicionales de PowerShell, según Microsoft.
Los comandos de PowerShell descargan y ejecutan componentes cifrados que, entre otras cosas, intentan deshabilitar el Antivirus de Windows Defender y Windows Update, y lanzan un código de shell binario que intenta elevar los privilegios en la máquina infectada. La carga útil final del malware es un módulo JavaScript escrito en el marco Node.js que puede convertir la máquina en un proxy, dijo Microsoft.
Si bien Windows Defender debería poder identificar y bloquear a Nodersok, el malware es un poco resbaladizo porque aprovecha la infraestructura legítima, según Microsoft.
«La campaña es particularmente interesante no solo porque emplea técnicas avanzadas sin archivos, sino también porque se basa en una esquiva infraestructura de red que hace que el ataque vuele por debajo del radar», dijo Microsoft en la publicación.
Aún así, una vez que infecta un sistema, el comportamiento de Nodersok lo delata a alguien que sabe dónde buscar, lo que significa que los investigadores de seguridad deberían poder detectarlo en algún momento.
Para evitar la infección por completo, Microsoft recomienda a las personas que no ejecuten archivos HTA que se encuentran en sus sistemas, especialmente aquellos que no recuerdan haber descargado o cuyo origen no pueden identificar, dijo la compañía.
¿Cuáles son los principales problemas de ciberseguridad asociados con el acceso a cuentas privilegiadas y el gobierno de credenciales? Los expertos de Thycotic discutirán durante nuestro próximo seminario web gratuito de Threatpost , “Hackers y profesionales de seguridad: dónde están de acuerdo y en desacuerdo cuando se trata de su seguridad de acceso privilegiado”. Haga clic aquí para registrarse .
Fuente: threatpost.com