Specialişti ai Microsoft şi Cisco informează cu privire la o nouă campanie malware, transformând mii de PC-uri în „proxy-uri zombie”

30.09.2019
Specialişti ai Microsoft şi Cisco informează cu privire la o nouă campanie malware, transformând mii de PC-uri în „proxy-uri zombie”

Microsoft şi experţii în securitate Cisco Talos semnalează apariţia unei noi forme de malware care a infectat deja mii de PC-uri din Statele Unite şi Europa, folosind pentru propagare aparenţa unor aplicaţii legitime.

Atacurile sunt iniţiate folosind reclame maliţioase încărcate pe site-uri mai mult sau mai puţin reputabile, solicitând descărcarea şi lansarea unei aplicaţii HTML (HTA). Procesul de hacking este unul elaborat şi nu foarte uşor detectabil, din pricina faptului că sunt implicate şi download-uri perfect legitime precum NodeJS, o aplicaţie care permite lansarea de cod Javascript în afara paginilor web şi WinDivert, o aplicaţie folosită pentru captarea şi direcţionarea pachetelor de reţea.

Potrivit explicaţiilor furnizate de Microsoft, toate funcţionalităţile relevate se află în scripturi şi instrucţiuni shellcode recepţionate în formă criptată, decodate şi rulate doar după ce ajung în memoria RAM a PC-ului compromis. Atacatorii au avut grijă să nu lase cod executabil transferat în spaţiul de stocare, unde poate fi detectat.

Denumite de experţii în securitate campanii „fileless”, atacurile numite Nodersok şi Divergent dezactivează Windows Defender, asigurând astfel continuarea nedetectată a activităţii pe PC-urile care nu au instalată o altă soluţie antivirus.

Experţii Microsoft şi Cisco au însă păreri împărţite cu privire la obiectivul final al atacatorilor. PC-urile transformate în servere proxy pot folosite la mai multe tipuri de activităţi clandestine, cum ar fi accesarea unor reţele securizate fără ca sursa atacului să poată fi detectată. O altă activitate foarte profitabilă ar putea fi fraudarea campaniilor publicitare, folosind PC-urile compromise pentru a genera click-uri pe reclamele plătite pe baza numărului de afişări.

Microsoft şi Cisco informează că produsele antivirus din portofoliu au fost deja actualizate pentru a permite detectarea şi blocarea acestui tip de atac, recomandând utilizatorilor să instaleze cele mai noi versiuni disponibile.

 

Tags:
Urmărește Go4IT.ro pe Google News
Aurelian Mihai
Aurelian Mihai
Aurelian Mihai este cel mai vechi redactor al site-ului Go4it.ro. Are 14 ani de experienţă în presa IT şi cunoștințe ample din sfera tehnologiei. Înainte de a ajunge la Go4it, Aurelian a fost redactor pentru revista XtremPC, acoperind rubrica de știri, desfășurarea de teste comparative și ... citește mai mult