Microsoft ha descubierto una nueva campaña de malware responsable de la infección de miles de PC con Windows en todo el mundo.
El equipo de investigación de Microsoft Defender ATP detectó el programa malicioso (Nodersok) y explicó en una publicación de blog que se distribuiría a través de anuncios maliciosos, lo que obligaría a un sistema de Windows a descargar archivos HTZ utilizado en aplicaciones HTML.
Una vez que un usuario encuentra y hace clic en los archivos HTZ en su sistema, comienza un proceso que abre los scripts Powershell, Excel y JavaScript para descargar e instalar el malware Nodersok.
Según Microsoft, el malware no tiene archivos y utiliza archivos binarios (LOLBins) para explotar las herramientas y características existentes de un sistema Windows. Luego, Nodersok descarga módulos legítimos como Windivert.dll / sys y Node.exe del marco Node.JS para completar su trabajo. Sin embargo, los archivos maliciosos y los ejecutables nunca se escriben en el disco de una máquina infectada.
Nodersok Malware
Una vez que un sistema está completamente infectado, Nodersok puede convertirlo en una máquina proxy de tipo zombie utilizada para lanzar otros ataques cibernéticos e incluso crear un servidor de retransmisión que puede dar acceso a los piratas informáticos a los servidores comando y control, así como otros dispositivos comprometidos. Esto ayuda a los piratas informáticos a ocultar su actividad a los investigadores de seguridad que buscan un comportamiento sospechoso.
Además de Microsoft, la división de seguridad de Cisco, Talos, también descubrió el malware y lo llamó Divergente. Los investigadores de seguridad de la compañía descubrieron que las máquinas infectadas se usaban para cometer fraude de clics en redes corporativas específicas.
En su publicación de blog, los investigadores de Microsoft explicaron cómo descubrieron la campaña de malware Nodersok:
"La campaña es particularmente interesante, no solo porque utiliza técnicas avanzadas sin archivos, sino también porque se basa en una esquiva infraestructura de red que permite que el ataque pase desapercibido". Descubrimos esta campaña a mediados de julio cuando surgieron patrones sospechosos de uso anormal de MSHTA.exe de la telemetría ATP de Microsoft Defender. "
Para aquellos que temen que sus sistemas estén infectados con Nodersok, Microsoft ha actualizado su software antivirus gratuito Microsoft Defender para detectar malware.
Via The Inquirer