Microsoft advierte sobre un malware raro sin archivos secuestrando computadoras

Hay una nueva variedad de malware en Internet que ya ha infectado a miles de computadoras en todo el mundo y lo más probable es que su programa antivirus no pueda detectarlo.

¿Por qué? Esto se debe a que, en primer lugar, es un malware avanzado sin archivos y, en segundo lugar, aprovecha solo las utilidades legítimas del sistema incorporado y las herramientas de terceros para ampliar su funcionalidad y comprometer las computadoras, en lugar de utilizar cualquier código malicioso.

La técnica de traer sus propias herramientas legítimas es efectiva y rara vez se ha visto en la naturaleza, lo que ayuda a los atacantes a combinar sus actividades maliciosas con la actividad regular de la red o las tareas de administración del sistema, dejando menos huellas.

Descubierto de forma independiente por investigadores de ciberseguridad en Microsoft y Cisco Talos, el malware, denominado " Nodersok " y " Divergente ", se distribuye principalmente a través de anuncios maliciosos en línea e infecta a los usuarios mediante un ataque de descarga automática.

Descubierto por primera vez a mediados de julio de este año, el malware ha sido diseñado para convertir las computadoras Windows infectadas en servidores proxy, que según Microsoft, pueden ser utilizados por los atacantes como un relé para ocultar el tráfico malicioso; mientras que Cisco Talos cree que los proxies se utilizan para el fraude de clics para generar ingresos para los atacantes.
El proceso de infección en múltiples etapas involucra herramientas legítimas.



La infección comienza cuando los anuncios maliciosos sueltan el archivo de la aplicación HTML (HTA) en las computadoras de los usuarios, que, al hacer clic, ejecuta una serie de cargas de JavaScript y scripts de PowerShell que eventualmente descargan e instalan el malware Nodersok.

"Todas las funcionalidades relevantes residen en scripts y códigos de shell que casi siempre se cifran, se descifran y se ejecutan solo en la memoria. Ningún ejecutable malicioso se escribe en el disco", explica Microsoft .

Como se ilustra en el diagrama, el código JavaScript se conecta a servicios legítimos de Cloud y dominios de proyecto para descargar y ejecutar scripts de segunda etapa y componentes cifrados adicionales, que incluyen:

Scripts de PowerShell : intente deshabilitar el antivirus de Windows Defender y la actualización de Windows.

Shellcode binario : intenta escalar privilegios utilizando la interfaz COM con elevación automática.

Node.exe : la implementación de Windows del popular framework Node.js, que es confiable y tiene una firma digital válida, ejecuta JavaScript malicioso para operar dentro del contexto de un proceso confiable.

WinDivert (Desvío de paquetes de Windows) : una utilidad legítima y poderosa de captura y manipulación de paquetes de red que el malware utiliza para filtrar y modificar ciertos paquetes salientes.

Finalmente, el malware deja caer la carga útil final de JavaScript escrita para el marco Node.js que convierte el sistema comprometido en un proxy.


Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta