Según Microsoft y Cisco Talos, ha aparecido un nuevo Malware difícil de detectar el cual se está abriendo camino en miles de computadoras en Europa y Estados Unidos.
El malware, denominado Nodersok por Microsoft y Divergent por Cisco Talos, funciona convirtiendo tu computadora en un proxy para facilitar la propagación del malware, utilizando el framework Node.js y WinDivert, que es un paquete de captura y desvío de paquetes en modo usuario para diferentes versiones de Windows.
Parece que todo necesita una marca en estos días. Esto puede hacer que sea fácil referirse a algo que de otra manera sería difícil de identificar, por lo que muchos investigadores de seguridad han comenzado a nombrar sus descubrimientos. No obstante, también puede generar cierta confusión. Eso es exactamente lo que sucedió a principios de esta semana cuando el Equipo de Investigación de Protección contra Amenazas Avanzadas de Microsoft Defender y Cisco Talos, nombró al mismo malware con dos nombres diferentes.
Nuevo malware con técnicas de supervivencia
Microsoft nombró al malware Nodersok; Cisco Talos lo llamó Divergente. Independientemente de cómo se llame, el nuevo malware utiliza «técnicas de supervivencia» que reutilizan herramientas legítimas para fines nefastos. Esas herramientas reutilizadas se denominan LOLBins y permiten que este llamado malware sin archivos evada las funciones de detección empleadas por la gran mayoría de los productos de seguridad de Windows.
Esto es lo que Microsoft dijo sobre el método de infección de Nodersok: «Al igual que la campaña de Astaroth, cada paso de la cadena de infección solo ejecuta LOLBins legítimos, ya sea desde la máquina (mshta.exe, powershell.exe) o descargados de terceros (node.exe, Windivert.dll / sys). Todas las funcionalidades relevantes residen en scripts y códigos de shell que casi siempre se cifran, luego se descifran y se ejecutan solo en la memoria. Ningún ejecutable malicioso se escribe en el disco«.
En el caso de este malware, instala Node.exe y WinDivert como sus LOLBins. Estas son aplicaciones legítimas: la primera es «la implementación de Windows del popular marco Node.js utilizado por innumerables aplicaciones web«, como lo expresó Microsoft, mientras que la segunda es una poderosa utilidad de captura y manipulación de paquetes de red. Ambos son típicamente inofensivos, pero sus características permitieron a los creadores de Nodersok establecer su malware sin archivos.
Microsoft dijo que vio los primeros indicadores de Nodersok a mediados de julio y que ha estado molestando a miles de máquinas en las últimas semanas, con la mayoría de los objetivos ubicados en Estados Unidos y Europa. La mayoría de los sistemas afectados son dispositivos de consumo.
El nombre del malware no es lo único en lo que Microsoft y Cisco Talos no pueden ponerse de acuerdo. Si bien acordaron que Nodersok / Divergente se propagó a través de anuncios maliciosos que forzaron una descarga en un sistema que luego podría instalar los LOLBins requeridos, diferían en el propósito del malware. Microsoft pensó que era para transmitir tráfico malicioso; Cisco Talos afirmó que los operadores del malware querían usarlo para el fraude de clics.
Microsoft aconseja a los usuarios que eviten ejecutar archivos HTA encontrados en sus sistemas y que estén atentos a los archivos no reconocidos, asegurándose de no ejecutar ninguno del que no pueda identificar el origen.
leer más