Des milliers de PC grand public ont été victimes de logiciels malveillants qui les transforment en zombies.
Microsoft et Cisco Talos ont tous deux publié des rapports complets sur le malware, expliquant comment l'attaque incite les utilisateurs à télécharger un fichier HTML malveillant, puis utilise le célèbre framework Node.js (qui exécute Javascript en dehors d'un navigateur Web) et WinDivert (un outil de capture de paquets réseau) applications pour infecter et prendre le contrôle d'un ordinateur. L'application HTML infectée, ou HTA, est généralement distribuée via des publicités malveillantes envoyées via des services de diffusion de contenu légitimes, comme Amazon Cloudfront.
Une fois le fichier exécuté, il télécharge du code Javascript supplémentaire qui démarre finalement PowerShell et écrit un script malveillant. Cela se produit plusieurs fois, chaque instance de PowerShell menant à la prochaine attaque, en commençant par la désactivation de l'antivirus Windows Defender et en terminant par une charge utile JavaScript qui s'exécute sur node.exe. La charge utile JavaScript finale transforme l'appareil infecté en un zombie proxy qui peut être utilisé par un attaquant pour exécuter diverses activités malveillantes.
Microsoft appelle le malware Nodersok tandis que Cisco Talos l'appelle Divergent. Quoi qu'il en soit, l'attaque viserait principalement les consommateurs ordinaires aux États-Unis et en Europe et Microsoft affirme que 3% des rencontres ont été vues par des organisations des secteurs de l'éducation, de la santé ou de la finance.
Il existe des théories contradictoires sur ce que fait réellement le malware. Cisco affirme que le malware a été conçu pour générer des revenus en utilisant la fraude au clic, une technique permettant de générer des frais frauduleux qui coûtent des milliards de dollars aux annonceurs chaque année. Microsoft, d'autre part, pense que le malware a été créé comme un relais pour accéder aux entités du réseau et planter du code malveillant.
Quoi qu'il en soit, l'attaque est assez furtive car elle utilise des techniques associées à des logiciels malveillants « sans fichier », ou des logiciels malveillants qui laissent peu de traces à découvrir par les chercheurs.
"La campagne est particulièrement intéressante non seulement parce qu'elle utilise des techniques avancées sans fichier, mais aussi parce qu'elle s'appuie sur une infrastructure réseau insaisissable qui fait passer l'attaque sous le radar", a écrit Microsoft dans un article de blog. « Nous avons découvert cette campagne à la mi-juillet, lorsque des modèles suspects d'utilisation anormale de MSHTA.exe ont émergé de la télémétrie Microsoft Defender ATP. Dans les jours qui ont suivi, d'autres anomalies se sont manifestées, montrant jusqu'à dix fois plus d'activité. "
Comment protéger votre PC de Nodersok/Divergent
Aussi insaisissable que puisse être ce malware nouvellement découvert, Microsoft et Cisco promettent que leurs services --- Windows Defender et Cisco Advanced Malware Protection (AMP), respectivement --- peuvent détecter et arrêter le malware. Cependant, tous les PC ne sont pas équipés de ces défenseurs anti-malware et les solutions tierces ont du mal avec ce malware particulier.
Si vous voulez être protégé à 100 %, Microsoft suggère que vous n'exécutiez pas d'applications HTA (ou HTML) sur vos systèmes Windows, surtout s'ils ne peuvent pas remonter jusqu'à un propriétaire légitime.
Crédit : Rawpixel.com/Shutterstock
- Meilleur logiciel antivirus - Meilleur logiciel pour PC, Mac et…