Binlerce tüketici bilgisayarı, onları zombilere dönüştüren kötü amaçlı yazılımların kurbanı oldu.
Microsoft ve Cisco Talos, kötü amaçlı yazılım hakkında, saldırının kullanıcıları kötü niyetli bir HTML dosyası indirmeye nasıl yönlendirdiğini ve ardından popüler Node.js çerçevesini (Javascript'i bir web tarayıcısı dışında yürütür) ve WinDivert'i (bir ağ paketi yakalama aracı) nasıl kullandığını açıklayan kapsamlı raporlar yayınladı. Bir bilgisayara bulaşmak ve kontrolünü ele geçirmek için uygulamalar. Etkilenen HTML uygulaması veya HTA, genellikle Amazon Cloudfront gibi meşru içerik dağıtım hizmetleri aracılığıyla gönderilen kötü amaçlı reklamlar aracılığıyla dağıtılır.
Dosya çalıştığında, sonunda PowerShell'i başlatan ve kötü amaçlı bir komut dosyası yazan ek Javascript kodunu indirir. Bu, Windows Defender Antivirus'ün devre dışı bırakılmasıyla başlayan ve node.exe üzerinde çalışan bir JavaScript yüküyle biten bir sonraki saldırıya yol açan her bir PowerShell örneğiyle birden çok kez gerçekleşir. Son JavaScript yükü, virüslü cihazı, bir saldırgan tarafından çeşitli kötü amaçlı faaliyetleri yürütmek için kullanılabilecek bir proxy zombisine dönüştürür.
Microsoft, kötü amaçlı yazılımı Nodersok olarak adlandırırken, Cisco Talos bunu Divergent olarak adlandırıyor. Her iki durumda da, saldırının öncelikle Amerika Birleşik Devletleri ve Avrupa'daki günlük tüketicileri hedef aldığı söyleniyor ve Microsoft, karşılaşmaların %3'ünün eğitim, sağlık veya finans sektörlerindeki kuruluşlar tarafından görüldüğünü söylüyor.
Kötü amaçlı yazılımın gerçekte ne yaptığı konusunda çelişkili teoriler var. Cisco, kötü amaçlı yazılımın, reklamverenlere her yıl milyarlarca dolara mal olan dolandırıcılık ödemeleri oluşturmak için bir teknik olan tıklama dolandırıcılığı kullanarak gelir elde etmek için tasarlandığını söylüyor. Öte yandan Microsoft, kötü amaçlı yazılımın ağ varlıklarına erişmek ve kötü amaçlı kod yerleştirmek için bir geçiş olarak oluşturulduğuna inanıyor.
Durum ne olursa olsun, "dosyasız" kötü amaçlı yazılımlarla veya araştırmacıların keşfetmesi için geride çok az iz bırakan kötü amaçlı yazılımlarla ilişkili teknikleri kullandığından saldırı oldukça gizlidir.
Microsoft bir blog yazısında, "Kampanya yalnızca gelişmiş dosyasız teknikler kullandığı için değil, aynı zamanda saldırının radar altında uçmasına neden olan anlaşılması zor bir ağ altyapısına dayandığı için özellikle ilginç" dedi. "Bu kampanyayı, Microsoft Defender ATP telemetrisinden MSHTA.exe'nin anormal kullanımındaki şüpheli kalıpların ortaya çıktığı Temmuz ortasında ortaya çıkardık. Takip eden günlerde, etkinlikte on kat artış gösteren daha fazla anormallik göze çarpıyordu. "
Bilgisayarınızı Nodersok/Divergent'tan nasıl korursunuz
Bu yeni keşfedilen kötü amaçlı yazılım ne kadar zor olsa da, hem Microsoft hem de Cisco, hizmetlerinin --- sırasıyla Windows Defender ve Cisco Gelişmiş Kötü Amaçlı Yazılım Koruması (AMP) --- kötü amaçlı yazılımı tespit edip durdurabileceğini vaat ediyor. Ancak, her bilgisayar bu kötü amaçlı yazılımdan koruma savunucuları ile donatılmamıştır ve üçüncü taraf çözümleri bu özel kötü amaçlı yazılımla zor anlar yaşar.
%100 korunmak istiyorsanız Microsoft, Windows sistemlerinizde HTA (veya HTML uygulamaları) çalıştırmamanızı önerir, özellikle de yasal bir sahibine kadar izleyemiyorlarsa.
Kredi: Rawpixel.com/Shutterstock
- En İyi Antivirüs Yazılımı - PC, Mac ve…