Malware fileless impiega app Web per trasformare PC infetti in proxy


Migliaia di computer Windows in tutto il mondo sono stati infettati da un nuovo ceppo di malware che scarica e installa una copia del framework Node.js per convertire i sistemi infetti in proxy ed eseguire frodi tramite clic. Il malware, denominato da Microsoft come "Nodersok" mentre Cisco Talos lo ha definito "Divergent", è stato individuato per la prima volta durante l'estate, distribuito tramite annunci dannosi che scaricano forzatamente dei file HTA (applicazione HTML) sulle macchine delle vittime. Gli utenti che eseguono questi file HTA avviano un processo di infezione in più fasi che coinvolge script Excel, JavaScript e PowerShell che al termine scaricano e installano il malware.

Il malware stesso ha più componenti, ognuno con il proprio ruolo. C'è un modulo PowerShell che tenta di disabilitare Windows Defender e Windows Update e c'è un componente per elevare le autorizzazioni del malware a livello di sistema. Ma ci sono anche due componenti che sono le applicazioni legittime - vale a dire WinDivert e Node.js. La prima è un'app per l'acquisizione e l'interazione con i pacchetti di rete, mentre la seconda è un noto strumento di sviluppo per l'esecuzione di JavaScript su server Web. Secondo i report Microsoft e Cisco Talos, il malware utilizza le due app legittime per avviare un proxy SOCKS su host infetti. Ma qui - scrive ZDNet - è dove i rapporti divergono. Microsoft afferma che il malware trasforma gli host infetti in proxy per inoltrare traffico dannoso.


Cisco, d'altra parte, afferma che questi proxy sono utilizzati per eseguire frodi sui clic. Mentre entrambe le società hanno espresso un'opinione diversa su ciò che fa esattamente, i ricercatori di Cisco Talos hanno affermato che "questo malware può essere sfruttato da un utente malintenzionato per colpire le reti aziendali e sembra essere progettato principalmente per condurre frodi sui clic. Presenta inoltre diverse caratteristiche che sono stati osservati in altri malware fraudolenti, come Kovter". La società ritiene che questo malware sia ancora in fase di sviluppo attivo. Tuttavia, Microsoft ha dichiarato che anche se Windows Defender è in grado di identificare e bloccare il malware Nodersok, rilevare questo malware potrebbe essere leggermente difficile perché sfrutta un'infrastruttura legittima.

Inoltre, nel post Microsoft ha affermato che questa campagna di minaccia è molto interessante non solo perché "utilizza tecniche avanzate di archiviazione, ma anche perché si basa su un'infrastruttura di rete inafferrabile che fa volare l'attacco sotto il radar". Secondo il rapporto di Cisco Talos, il malware ha molte somiglianze con altre famose famiglie di malware senza file (fileless), in particolare Kovter, un trojan progettato per generare traffico per vari siti Web. Come Kovter, fa molto affidamento sul registro per la gestione temporanea e l'archiviazione dei dati di configurazione, evitando al contempo la scansione più tradizionale degli endpoint in accesso dei file su disco. Utilizza inoltre una chiave nel registro per mantenere la persistenza e si affida a PowerShell per installarsi sull'host infetto.

Durante l'analisi dei sistemi attivamente infettati da Divergent, gli analisti di Cisco Talos hanno osservato diverse richieste Web avviate dal malware che tentava di interagire con varie pubblicità online e piattaforme pubblicitarie. Secondo il Microsoft Defender ATP Research Team, la campagna Nodersok ha infastidito migliaia di macchine nelle ultime settimane, con la maggior parte degli obiettivi situati negli Stati Uniti e in Europa (Italia compresa). Molti dei bersagli osservati sono consumatori, ma circa il 3% sono organizzazioni dei settori quali istruzione, servizi professionali, assistenza sanitaria, finanza e vendita al dettaglio. L'attacco inizia quando un utente scarica ed esegue un file di applicazione HTML (HTA), attraverso un annuncio pubblicitario o un download non autorizzato.


Successivamente viene avviata una complessa sequenza di eventi. JavaScript nell'HTA scarica un file JavaScript separato e che a sua volta esegue un comando PowerShell che scarica ed esegue un intero host di strumenti, inclusi quelli che disabilitano Windows Defender, chiedono maggiore controllo, acquisiscono pacchetti di dati e creano il proxy previsto. Fondamentalmente, l'infezione si basa su programmi legittimi per svolgere il suo compito, sia che siano integrati in Windows o scaricati da terze parti. Non ci sono programmi malware copiati nell'archivio. L'approccio rende più difficile per i team di sicurezza la ricerca del codice e l'elaborazione delle contromisure da adottare. Fortunatamente, tuttavia, i ricercatori di sicurezza sono stati in grado di identificare i modelli di comportamento.

I modelli di machine learning nel client Windows Defender Antivirus rilevano genericamente l'offuscamento sospetto nel file HTA iniziale utilizzato in questo attacco. Oltre a questa protezione immediata, le funzionalità di rilevamento comportamentale e di contenimento possono individuare condotte anomale e dannose, come l'esecuzione di script. Quando il behavior monitoring engine nel client rileva una delle oltre 500 tecniche di attacco, informazioni come l'albero dei processi e le sequenze di comportamento vengono inviate al cloud, dove i modelli di machine learning basati sul comportamento classificano i file e identificano potenziali minacce. La protezione dalle manomissioni in Microsoft Defender ATP protegge dalle modifiche del sistema che tentano di disabilitare Windows Defender Antivirus.




Via: MacyNet

Nessun commento:

Posta un commento