Miles de PC de consumo han sido víctimas de malware que las convierte en zombis.
Microsoft y Cisco Talos publicaron informes completos sobre el malware, explicando cómo el ataque hace que los usuarios descarguen un archivo HTML malicioso y luego usa el popular marco Node.js (que ejecuta Javascript fuera de un navegador web) y WinDivert (una herramienta de captura de paquetes de red) aplicaciones para infectar y tomar el control de una computadora. La aplicación HTML infectada, o HTA, generalmente se distribuye a través de anuncios maliciosos enviados a través de servicios de entrega de contenido legítimos, como Amazon Cloudfront.
Una vez que el archivo se ejecuta, descarga código Javascript adicional que finalmente inicia PowerShell y escribe un script malicioso. Eso sucede varias veces, y cada instancia de PowerShell conduce al siguiente ataque, comenzando con la desactivación del antivirus de Windows Defender y terminando con una carga útil de JavaScript que se ejecuta en node.exe. La carga útil final de JavaScript convierte al dispositivo infectado en un zombi proxy que puede ser utilizado por un atacante para ejecutar diversas actividades maliciosas.
Microsoft llama al malware Nodersok, mientras que Cisco Talos lo llama Divergente. De cualquier manera, se dice que el ataque se dirige principalmente a los consumidores cotidianos en los Estados Unidos y Europa y Microsoft dice que el 3% de los encuentros fueron vistos por organizaciones en los sectores educativo, sanitario o financiero.
Existen teorías contradictorias sobre lo que realmente hace el malware. Cisco dice que el malware fue diseñado para generar ingresos mediante el fraude de clics, una técnica para generar cargos fraudulentos que cuesta a los anunciantes miles de millones de dólares cada año. Microsoft, por otro lado, cree que el malware se creó como un relé para acceder a las entidades de la red y plantar código malicioso.
Cualquiera que sea el caso, el ataque es bastante sigiloso ya que utiliza técnicas asociadas con malware "sin archivos", o malware que deja pocos rastros para que los investigadores los descubran.
"La campaña es particularmente interesante no solo porque emplea técnicas avanzadas sin archivos, sino también porque se basa en una elusiva infraestructura de red que hace que el ataque pase desapercibido", escribió Microsoft en una publicación de blog. "Descubrimos esta campaña a mediados de julio, cuando surgieron patrones sospechosos en el uso anómalo de MSHTA.exe de la telemetría ATP de Microsoft Defender. En los días que siguieron, se destacaron más anomalías, que se multiplicaron por diez en la actividad. "
Cómo proteger su PC de Nodersok / Divergent
Por difícil que sea este malware recién descubierto, tanto Microsoft como Cisco prometen que sus servicios, Windows Defender y Cisco Advanced Malware Protection (AMP), respectivamente, pueden detectar y detener el malware. Sin embargo, no todas las PC están equipadas con defensores anti-malware y las soluciones de terceros tienen dificultades con este malware en particular.
Si desea estar 100% protegido, Microsoft sugiere que no ejecute HTA (o aplicaciones HTML) en sus sistemas Windows, especialmente si no pueden rastrearlos hasta un propietario legítimo.
Crédito: Rawpixel.com/Shutterstock
- El mejor software antivirus: el mejor software para PC, Mac y …