Nowy malware na Windows zamienia PC-ty w cyfrowe zombie
Cyberbezpieczeństwo to rozległa dziedzina. Okazuje się, że ten sam złośliwy kod może otrzymać nawet dwie różne nazwy. Taka sytuacja właśnie teraz dotyczy nowego malware'u, który rozpracowali badacze z Microsoftu oraz Cisco Talos. Microsoft nadał mu nazwę Nodersok. Cisco natomiast nazwało go Divergent. Niezależnie od jego nazwy, jest to oprogramowanie typu LOLBin (Living-Off-The-Land Binary). Używa ono plików binarnych Windowsa aby zakamuflować swoją aktywność i rozprzestrzeniać złośliwy kod. Nodersok / Divergent korzysta w tym przypadku z narzędzia wywołującego node.js oraz komponentu WinDivert (do przekierowywania pakietów), przekształcając komputery w maszyny zombie. Microsoft i Cisco mają jednak odmienne zdanie na temat celu jego funkcjonowania.
Wiadomo, że istnieje nowy malware. Jednak Microsoft i Cisco nazywają go inaczej. Mają również różne zdania na temat celu jego wykorzystania.
W przypadku tego nowego złośliwego oprogramowania, jego ofiarami są nie firmy i organizacje, ale zwykli użytkownicy. Microsoft na pierwsze ślady aktywności Nodersok natknął się w połowie lipca. Twórcy malware'u skupiali się głównie na Stanach Zjednoczonych i Europie. Cisco Talos zaobserwowało kilka wariacji złośliwego kodu, które instaluje się pod dwiema różnymi nazwami. Według badaczy firmy świadczy to o tym, że autorzy tego malware'u nadal aktywnie nad nim pracują. Microsoft i Cisco mają jednak inne wnioski na temat celu zastosowania Nodersok / Divergent. Gigant z Redmond twierdzi, że ten LOLbin przekierowuje złośliwy ruch sieciowy, natomiast Cisco uważa, że twórcy malware'u wykorzystują go aby wymusić fałszywe kliknięcia w linki sponsorowane (tzw. click fraud).
Gra o Malware: żaden serial nie ma tyle malware, co Gra o Tron
Cała funkcjonalność malware'u zawarta jest w zaszyfrowanych skryptach i w tzw. shellcode, które następnie są roszyfrowywane w locie i operują wyłącznie w pamięci operacyjnej. Dlatego też nie zostawiają one żadnego śladu na dysku, a eksperci od zabezpieczeń nazywają tego typu rozwiązania "bezplikowymi". W przypadku Nodersok / Divergent doszło również do czasowego zdezaktywowania Windows Defendera, co również tłumaczy dlaczego malware pozostał niewykryty przez kilka miesięcy. Według Microsoftu złośliwy kod zainfekował tysiące komputerów. Cisco i Microsoft zapewniają, że ich antywirusy zostały zaktualizowane tak, aby zapobiec obecnej wariacji tego malware'u. Forbes szacuje, że wyłudzenia typu click fraud przyniosły szkody reklamodawcom rzędu 19 miliardów dolarów.