Nowy malware na Windows zamienia PC-ty w cyfrowe zombie
Cyberbezpieczeństwo to rozległa dziedzina. Okazuje się, że ten sam złośliwy kod może otrzymać nawet dwie różne nazwy. Taka sytuacja właśnie teraz dotyczy nowego malware'u, który rozpracowali badacze z Microsoftu oraz Cisco Talos. Microsoft nadał mu nazwę Nodersok. Cisco natomiast nazwało go Divergent. Niezależnie od jego nazwy, jest to oprogramowanie typu LOLBin (Living-Off-The-Land Binary). Używa ono plików binarnych Windowsa aby zakamuflować swoją aktywność i rozprzestrzeniać złośliwy kod. Nodersok / Divergent korzysta w tym przypadku z narzędzia wywołującego node.js oraz komponentu WinDivert (do przekierowywania pakietów), przekształcając komputery w maszyny zombie. Microsoft i Cisco mają jednak odmienne zdanie na temat celu jego funkcjonowania.
Wiadomo, że istnieje nowy malware. Jednak Microsoft i Cisco nazywają go inaczej. Mają również różne zdania na temat celu jego wykorzystania.
W przypadku tego nowego złośliwego oprogramowania, jego ofiarami są nie firmy i organizacje, ale zwykli użytkownicy. Microsoft na pierwsze ślady aktywności Nodersok natknął się w połowie lipca. Twórcy malware'u skupiali się głównie na Stanach Zjednoczonych i Europie. Cisco Talos zaobserwowało kilka wariacji złośliwego kodu, które instaluje się pod dwiema różnymi nazwami. Według badaczy firmy świadczy to o tym, że autorzy tego malware'u nadal aktywnie nad nim pracują. Microsoft i Cisco mają jednak inne wnioski na temat celu zastosowania Nodersok / Divergent. Gigant z Redmond twierdzi, że ten LOLbin przekierowuje złośliwy ruch sieciowy, natomiast Cisco uważa, że twórcy malware'u wykorzystują go aby wymusić fałszywe kliknięcia w linki sponsorowane (tzw. click fraud).
Gra o Malware: żaden serial nie ma tyle malware, co Gra o Tron
Cała funkcjonalność malware'u zawarta jest w zaszyfrowanych skryptach i w tzw. shellcode, które następnie są roszyfrowywane w locie i operują wyłącznie w pamięci operacyjnej. Dlatego też nie zostawiają one żadnego śladu na dysku, a eksperci od zabezpieczeń nazywają tego typu rozwiązania "bezplikowymi". W przypadku Nodersok / Divergent doszło również do czasowego zdezaktywowania Windows Defendera, co również tłumaczy dlaczego malware pozostał niewykryty przez kilka miesięcy. Według Microsoftu złośliwy kod zainfekował tysiące komputerów. Cisco i Microsoft zapewniają, że ich antywirusy zostały zaktualizowane tak, aby zapobiec obecnej wariacji tego malware'u. Forbes szacuje, że wyłudzenia typu click fraud przyniosły szkody reklamodawcom rzędu 19 miliardów dolarów.
Powiązane publikacje

Były szef cyberbezpieczeństwa WhatsApp pozywa Meta za systemowe naruszenia zabezpieczeń danych użytkowników
13
NASK za 300 mln złotych zabezpieczy polskie wodociągi w ramach ochrony przed rosyjskimi cyberatakami na infrastrukturę krytyczną
25
Tesla przegrywa proces o Autopilot po odzyskaniu przez hakera danych z komputera pokładowego auta Model S
29
FBI i CISA ostrzegają. Hakerzy z grupy Static Tundra wykorzystują luki w routerach Cisco do ataków na infrastrukturę krytyczną
19