Microsoft предупреждает о новой редкой вредоносной программе без файлов, угоняющей компьютеры Windows

Остерегайтесь пользователей Windows!

В Интернете появилось новое поколение вредоносных программ, которые уже заразили тысячи компьютеров по всему миру, и, скорее всего, ваша антивирусная программа не сможет их обнаружить.

Почему? Это потому, что, во-первых, это продвинутая безфайловая вредоносная программа, а во-вторых, она использует только легитимные встроенные системные утилиты и сторонние инструменты для расширения своей функциональности и компрометации компьютеров, а не использует какой-либо вредоносный фрагмент кода.

Техника создания собственных законных инструментов эффективна и редко встречается в дикой природе, помогая злоумышленникам смешивать свои вредоносные действия с обычной сетевой активностью или задачами системного администрирования, оставляя при этом меньше следов.

Независимо обнаруженные исследователями в области кибербезопасности в Microsoft и Cisco Talos, вредоносные программы, получившие название « Nodersok » и « Divergent », в основном распространяются с помощью вредоносной онлайн-рекламы и заражают пользователей с помощью атаки «Drive-by-Download».

Впервые обнаруженная в середине июля этого года, вредоносная программа была разработана для превращения зараженных компьютеров Windows в прокси-серверы, которые, по словам Microsoft, могут затем использоваться злоумышленниками в качестве ретранслятора для сокрытия вредоносного трафика; в то время как Cisco Talos считает, что прокси-серверы используются для мошенничества с кликами для получения дохода для злоумышленников.

Многоступенчатый процесс заражения включает в себя законные инструменты

Заражение начинается, когда вредоносная реклама сбрасывает файл HTML-приложения (HTA) на компьютеры пользователей, который при щелчке запускает ряд полезных данных JavaScript и сценариев PowerShell, которые в конечном итоге загружают и устанавливают вредоносное ПО Nodersok.

«Все соответствующие функции находятся в сценариях и шелл-кодах, которые почти всегда приходят в зашифрованном виде, затем дешифруются и запускаются только в памяти. На диск никогда не записывается вредоносный исполняемый файл», - объясняет Microsoft .

Как показано на диаграмме, код JavaScript подключается к законным облачным сервисам и доменам проектов для загрузки и запуска сценариев второго этапа и дополнительных зашифрованных компонентов, включая:

• Сценарии PowerShell - попытка отключить антивирус Защитника Windows и обновление Windows.
• Двоичный шелл- код - пытается повысить привилегии, используя автоматически повышенный COM-интерфейс.
• Node.exe - реализация Windows популярной платформы Node.js, которая является доверенной и имеет действительную цифровую подпись, выполняет вредоносный JavaScript для работы в контексте доверенного процесса.
• WinDivert (Windows Packet Divert) - легальная и мощная утилита захвата и обработки сетевых пакетов, которую вредоносное ПО использует для фильтрации и изменения определенных исходящих пакетов.

Наконец, вредоносная программа сбрасывает окончательную полезную нагрузку JavaScript, написанную для инфраструктуры Node.js, которая преобразует скомпрометированную систему в прокси.

«Это завершает заражение, в результате которого фильтр сетевых пакетов активен, и машина работает как потенциальный прокси-зомби», - объясняет Microsoft.

«Когда машина превращается в прокси, она может использоваться злоумышленниками в качестве ретранслятора для доступа к другим сетевым объектам (веб-сайтам, серверам C & C, взломанным компьютерам и т. Д.), Что позволяет им выполнять скрытые злонамеренные действия».

По словам экспертов Microsoft, прокси-движок на основе Node.js в настоящее время имеет две основные цели: во-первых, он подключает зараженную систему обратно к удаленному управляемому злоумышленником серверу управления, а во-вторых, получает HTTP-запросы. прокси обратно к нему.

С другой стороны, эксперты Cisco Talos пришли к выводу, что злоумышленники используют этот прокси-компонент, чтобы дать команду зараженным системам переходить на произвольные веб-страницы для монетизации и мошенничества с кликами.

Nodersok заразил тысячи пользователей Windows

По данным Microsoft, вредоносные программы Nodersok уже заразили тысячи машин за последние несколько недель, большинство из которых находится в Соединенных Штатах и ​​Европе.

В то время как вредоносная программа в основном ориентирована на домашних пользователей Windows, исследователи наблюдали около 3% атак на организации из отраслей промышленности, включая образование, здравоохранение, финансы, розничную торговлю, а также деловые и профессиональные услуги.

Поскольку в кампании по борьбе с вредоносными программами используются передовые методы без файлов, и она использует неуловимую сетевую инфраструктуру за счет использования законных инструментов, кампания атаки оказалась незаметной, что усложнило ее обнаружение традиционными антивирусными программами на основе сигнатур.

«Если мы исключим все чистые и легитимные файлы, использованные при атаке, все, что останется, - это исходный файл HTA, конечная полезная нагрузка на основе Node.js и набор зашифрованных файлов. Традиционные подписи на основе файлов недостаточны для противодействия сложным». угрозы, подобные этой, "говорит Microsoft.

Тем не менее, компания утверждает, что «поведение вредоносного ПО создало видимый след, который явно выделяется для всех, кто знает, где искать».

В июле этого года Microsoft также обнаружила и сообщила о другой кампании без вредоносных программ , получившей название Astaroth , которая была разработана для кражи конфиденциальной информации пользователей, без потери какого-либо исполняемого файла на диске или установки какого-либо программного обеспечения на компьютер жертвы.

Microsoft заявила, что защита нового поколения Защитника Windows ATP ATP обнаруживает атаки вредоносных программ без файлов на каждом этапе заражения, обнаруживая аномальное и вредоносное поведение, такое как выполнение сценариев и инструментов.