11 de December de 2019

Microsoft e Cisco identificam novo malware que está atacando usuários domésticos

A Microsoft e a Cisco descobriram um novo Malware que está infectando o computador de diversos usuários domésticos dos Estados Unidos e Europa. O novo vírus é chamado de Nodersok (pela Microsoft) e Divergent (pela Cisco), e até agora há diversos possíveis usos desse ataque, mas a principal desconfiança é de que o seu principal objetivo seja clicar automaticamente em anúncios para gerar mais receita para sites, ou retransmitir o tráfego malicioso. Isso ainda está sendo investigado. 

Esse novo ataque faz uso de técnicas que redirecionam ferramentas legítimas para fins maldosos. Eles são chamadas de “binários que vivem fora da terra” ou LOLBins. Esse tipo de arquivo permite que esse malware não tenha um arquivo malicioso identificável a ser baixado, o que evita que os sistemas de detecção de danos sejam acionados, afetando diretamente a segurança dos usuários do Windows.

“Como a campanha Astaroth, todas as etapas da cadeia de infecção executam apenas LOLBins legítimos, da própria máquina (mshta.exe, powershell.exe) ou de terceiros baixados (node.exe, Windivert.dll / sys). Todos das funcionalidades relevantes residem em scripts e códigos de shell que quase sempre são criptografados, são descriptografados e executados apenas na memória. Nenhum executável malicioso é gravado no disco ” - Post blog de segurança da Microsoft

Uma das maiores dificuldades em detecção desse ataque é justamente por ele ser um arquivo legítimo, que é usado em diversas aplicações web. A Microsoft explica também que a primeira vez que detectou o malware foi em julho de 2019. Já a Cisco Talos disse que acredita que o malware “está atualmente em desenvolvimento ativo”, isso porque “observou várias versões do carregador sendo usadas para instalar”.

“As campanhas de malware observadas associadas ao Divergent apresentam o uso de técnicas de persistência mais comumente associadas ao ‘sem arquivo ‘, deixando para trás poucos artefatos para os pesquisadores analisarem. Esse malware pode ser aproveitado por um invasor para atingir redes corporativas e parece ter sido projetado principalmente para realizar fraudes por cliques” - Post blog Talos Intelligence, Cisco 

Notícia

Em ranking global de ataques cibernéticos, Brasil fica em 7º lugar

Apesar de ambas as empresas terem descoberto o mesmo malware, elas possuem algumas diferenças na descrição do mesmo, para além do nome. A Microsoft acredita que ele foi criado para que o tráfego de navegação seja voltado para fins maliciosos, redirecionando os caminhos que estão sendo feitos pelos usuários. Já a Cisco acredita que ele é um gerador de cliques, o que faz com que o usuário acesse, mesmo sem querer, sites de anúncios que aparecerem em sua tela. 

Aparentemente o Nodersok/Divergent é instalado no PC por meio de anúncios falsos. Depois que o usuário acessa esses links o computador é infectado. Até o momento, as investigações indicam que o alvo são os usuários domésticos, com sistema operacional Windows.

Via: Tom’s Hardware Fonte: Talos, Microsoft

Article source: https://mundoconectado.com.br/noticias/v/10641/microsoft-e-cisco-identificam-novo-malware-que-esta-atacando-usuarios-domesticos

Speak Your Mind

*