Hàng nghìn máy tính cá nhân của người tiêu dùng đã trở thành nạn nhân của phần mềm độc hại biến họ thành thây ma.
Microsoft và Cisco Talos đều đã công bố các báo cáo toàn diện về phần mềm độc hại, giải thích cách thức tấn công khiến người dùng tải xuống tệp HTML độc hại, sau đó sử dụng khung Node.js phổ biến (thực thi Javascript bên ngoài trình duyệt web) và WinDivert (một công cụ chụp gói mạng) ứng dụng để lây nhiễm và kiểm soát máy tính. Ứng dụng HTML bị nhiễm, hoặc HTA, thường được phân phối thông qua các quảng cáo độc hại được gửi qua các dịch vụ phân phối nội dung hợp pháp, như Amazon Cloudfront.
Khi tệp chạy, nó tải xuống mã Javascript bổ sung để cuối cùng khởi động PowerShell và viết một tập lệnh độc hại. Điều đó xảy ra nhiều lần, với mỗi phiên bản PowerShell dẫn đến cuộc tấn công tiếp theo, bắt đầu bằng việc vô hiệu hóa Windows Defender Antivirus và kết thúc bằng một tải trọng JavaScript chạy trên node.exe. Trọng tải JavaScript cuối cùng biến thiết bị bị nhiễm thành một xác sống ủy quyền có thể bị kẻ tấn công sử dụng để thực hiện các hoạt động độc hại khác nhau.
Microsoft gọi phần mềm độc hại là Nodersok trong khi Cisco Talos gọi nó là Divergent. Dù bằng cách nào, cuộc tấn công được cho là chủ yếu nhắm vào người tiêu dùng hàng ngày ở Hoa Kỳ và Châu Âu và Microsoft cho biết 3% các cuộc gặp gỡ đã được nhìn thấy bởi các tổ chức trong lĩnh vực giáo dục, chăm sóc sức khỏe hoặc tài chính.
Có những lý thuyết mâu thuẫn về những gì phần mềm độc hại thực sự làm. Cisco cho biết phần mềm độc hại này được thiết kế để tạo ra doanh thu bằng cách sử dụng gian lận nhấp chuột, một kỹ thuật tạo ra các khoản phí gian lận khiến các nhà quảng cáo tiêu tốn hàng tỷ đô la mỗi năm. Mặt khác, Microsoft tin rằng phần mềm độc hại này được tạo ra như một thiết bị chuyển tiếp để truy cập vào các thực thể mạng và gieo mã độc.
Dù là gì đi nữa, cuộc tấn công này khá là lén lút vì nó sử dụng các kỹ thuật liên quan đến phần mềm độc hại "không có bộ lọc" hoặc phần mềm độc hại để lại ít dấu vết cho các nhà nghiên cứu phát hiện.
"Chiến dịch đặc biệt thú vị không chỉ bởi vì nó sử dụng các kỹ thuật tiên tiến không cần lọc mà còn vì nó dựa trên cơ sở hạ tầng mạng khó nắm bắt khiến cuộc tấn công bay dưới tầm kiểm soát", Microsoft viết trong một bài đăng trên blog. "Chúng tôi đã phát hiện ra chiến dịch này vào giữa tháng 7, khi các mô hình đáng ngờ trong việc sử dụng MSHTA.exe bất thường xuất hiện từ máy đo từ xa Microsoft Defender ATP. Trong những ngày sau đó, nhiều điểm bất thường nổi bật hơn, cho thấy hoạt động tăng lên gấp 10 lần. "
Cách bảo vệ PC của bạn khỏi Nodersok / Divergent
Phần mềm độc hại mới được phát hiện này có thể khó nắm bắt, cả Microsoft và Cisco đều hứa hẹn rằng các dịch vụ của họ --- Windows Defender và Cisco Advanced Malware Protection (AMP), tương ứng --- có thể phát hiện và ngăn chặn phần mềm độc hại. Tuy nhiên, không phải mọi PC đều được trang bị các trình bảo vệ chống phần mềm độc hại đó và các giải pháp của bên thứ ba sẽ gặp khó khăn với phần mềm độc hại cụ thể này.
Nếu bạn muốn được bảo vệ 100%, Microsoft khuyên bạn không nên chạy HTA (hoặc ứng dụng HTML) trên hệ thống Windows của mình, đặc biệt nếu chúng không thể theo dõi chúng trở lại chủ sở hữu hợp pháp.
Tín dụng: Rawpixel.com/Shutterstock
- Phần mềm chống vi-rút tốt nhất - Phần mềm hàng đầu cho PC, Mac và…