Foto: Wilfred Lee (AP)
Een nieuw ontdekte soort van malware verandert Pc ‘ s in wat Microsoft onheilspellend oproepen “zombie proxies” gebruik anders legitieme programma ‘ s, en het bedrijf beweert dat het is geïnfecteerd duizenden computers over de VS en Europa.
Microsoft en Cisco ‘ s Talos onderzoekers zowel uitgebrachte rapporten deze week dat geschetst van deze dreiging cyber, die de bedrijven Nodersok en “Afwijkende” respectievelijk.
Deze malware campagnes hebben hetzelfde doel, ongeacht de naam: te krijgen gebruikers downloaden en uitvoeren van een HTML-toepassing (HTA) waarschijnlijk verspreid via kwaadaardige advertenties. Dit veroorzaakt een uitgebreide hacken proces dat laat weinig sporen omdat het maakt gebruik van bestaande programma ‘ s of downloads legitieme hulpmiddelen zoals NodeJS, een app die voert Javascript buiten van een web browser, en WinDivert, een app gebruikt voor het vastleggen en doorschakelen van netwerk pakketten.
“Alle relevante functionaliteiten bevinden zich in scripts en shellcodes dat zijn bijna altijd afkomstig gecodeerd en vervolgens gedecodeerd en uitgevoerd terwijl alleen in het geheugen. Geen kwaadaardig uitvoerbaar is ooit naar de schijf geschreven,” een Microsoft blog post leest. Omdat cybersecurity-experts noemen deze aanvallen met behulp van deze methoden “fileless” campagnes.
Na de malware schakelt Windows Defender, waarin wordt uitgelegd hoe het is vermeden uitschakeling van de anti-virus software voor zo lang, en kan de controle van een PC, echter, Microsoft en Cisco onderzoekers zijn verdeeld over de uiteindelijke doelstelling. Microsoft gelooft dat aanvallers deze proxy gebruiken om toegang te krijgen tot andere netwerken en “het uitvoeren van sluipende kwaadaardige activiteiten. Ondertussen, Cisco Talos stelt de malware deelt een aantal kenmerken met andere virussen ontworpen om het gedrag van klik-fraude, een tactiek die kosten adverteerders een geschatte $19 miljard alleen al vorig jaar volgens Forbes.
Één van beide manier, Microsoft stelt dat de campagne heeft besmet duizenden machines, met de meeste aanvallen uitgevoerd deze maand en gericht op consumenten. Beide bedrijven beweren dat hun anti-virus software is bijgewerkt tot het detecteren van deze malware stam vooruit.
Deze rapporten komt slechts enkele maanden nadat de National Security Agency drong er bij de gebruikers tot een update van hun Windows-computers in het kielzog van een kritieke kwetsbaarheid in de beveiliging staat bekend als BlueKeep, dat door Microsoft gepatcht terug in Mei.
Deel Dit Verhaal