Hati-hati pengguna Windows, perhatikan ini!
Ada serangkaian malware baru yang beredar di Internet yang telah menginfeksi ribuan komputer di seluruh dunia dan kemungkinan besar, program antivirus Anda tidak akan dapat mendeteksinya.
Mengapa? Itu karena, pertama, ini adalah malware tak berbayar yang canggih dan kedua, ia hanya memanfaatkan utilitas sistem bawaan dan alat pihak ketiga untuk memperluas fungsionalitasnya dan kompromi komputer, daripada menggunakan potongan kode berbahaya.
Teknik membawa alat sendiri yang sah itu efektif dan jarang terlihat di alam liar, membantu penyerang untuk berbaur dalam aktivitas jahat mereka dengan aktivitas jaringan biasa atau tugas administrasi sistem sambil meninggalkan lebih sedikit jejak.
Ditemukan secara independen oleh para peneliti keamanan siber di Microsoft dan Cisco Talos, malware - dijuluki " Nodersok " dan " Divergent " - terutama didistribusikan melalui iklan online berbahaya dan menginfeksi pengguna menggunakan drive-by-download attack.
Pertama kali terlihat pada pertengahan Juli tahun ini, malware telah dirancang untuk mengubah komputer Windows yang terinfeksi menjadi proxy, yang menurut Microsoft, kemudian dapat digunakan oleh penyerang sebagai relay untuk menyembunyikan lalu lintas berbahaya, sementara Cisco Talos meyakini proxy tersebut digunakan untuk penipuan klik untuk menghasilkan pendapatan bagi penyerang.
Proses Infeksi Multi Tahap Melibatkan Alat yang Sah
Infeksi dimulai ketika iklan berbahaya menjatuhkan file aplikasi HTML (HTA) di komputer pengguna, yang, ketika diklik, mengeksekusi serangkaian muatan JavaScript dan skrip PowerShell yang akhirnya mengunduh dan menginstal malware Nodersok.
"Semua fungsi yang relevan berada di skrip dan shellcodes yang hampir selalu datang dalam bentuk terenkripsi, kemudian didekripsi, dan dijalankan sementara hanya dalam memori. Tidak ada eksekusi berbahaya yang pernah ditulis ke disk," Microsoft menjelaskan .
Seperti yang diilustrasikan dalam diagram, kode JavaScript menghubungkan ke layanan Cloud dan domain proyek yang sah untuk mengunduh dan menjalankan skrip tahap kedua dan komponen terenkripsi tambahan, termasuk:
Pertama, PowerShell Scripts - upaya untuk menonaktifkan antivirus Windows Defender dan pembaruan Windows.
Kedua, Binary Shellcode - upaya untuk meningkatkan hak istimewa menggunakan antarmuka COM yang ditingkatkan secara otomatis.
Ketiga, Node.exe - Implementasi Windows dari kerangka kerja Node.js yang populer, yang dipercaya dan memiliki tanda tangan digital yang valid, menjalankan JavaScript berbahaya untuk beroperasi dalam konteks proses tepercaya.
Keempat, WinDivert (Windows Packet Divert) - utilitas penangkapan dan manipulasi paket jaringan yang sah dan kuat yang digunakan malware untuk memfilter dan memodifikasi paket keluar tertentu.
Akhirnya, malware menjatuhkan muatan JavaScript akhir yang ditulis untuk kerangka kerja Node.js yang mengubah sistem yang dikompromikan menjadi proxy.
"Ini menyimpulkan infeksi, pada akhirnya filter paket jaringan aktif, dan mesin bekerja sebagai zombie proxy potensial," Microsoft menjelaskan.
"Ketika sebuah mesin berubah menjadi proxy, itu dapat digunakan oleh penyerang sebagai relay untuk mengakses entitas jaringan lainnya (situs web, server C&C, mesin yang dikompromikan, dll.), Yang dapat memungkinkan mereka untuk melakukan kegiatan berbahaya yang tersembunyi."
Menurut para ahli di Microsoft, mesin proxy berbasis Node.js saat ini memiliki dua tujuan utama — pertama, menghubungkan sistem yang terinfeksi kembali ke server perintah-dan-kontrol yang dikendalikan penyerang, dan kedua, ia menerima permintaan HTTP ke proxy kembali ke sana.
Di sisi lain, para ahli di Cisco Talos menyimpulkan bahwa penyerang menggunakan komponen proxy ini untuk memerintahkan sistem yang terinfeksi untuk menavigasi ke halaman web sewenang-wenang untuk monetisasi dan tujuan penipuan klik
Nodersok Terinfeksi Ribuan Pengguna Windows
Menurut Microsoft, malware Nodersok telah menginfeksi ribuan mesin dalam beberapa minggu terakhir, dengan sebagian besar target berada di Amerika Serikat dan Eropa.
Sementara malware terutama berfokus pada penargetan pengguna rumahan Windows, para peneliti telah melihat sekitar 3% dari serangan yang menargetkan organisasi dari sektor industri, termasuk pendidikan, kesehatan, keuangan, ritel, dan layanan bisnis dan profesional.
Karena kampanye malware menggunakan teknik fileless canggih dan mengandalkan infrastruktur jaringan yang sulit dipahami dengan menggunakan alat yang sah, kampanye serangan terbang di bawah radar, membuatnya lebih sulit untuk program antivirus tradisional berbasis tanda tangan untuk mendeteksi itu.
"Jika kami mengecualikan semua file yang bersih dan sah yang dimanfaatkan oleh serangan, yang tersisa hanyalah file HTA awal, payload berbasis Node.js akhir, dan banyak file yang dienkripsi. Tanda tangan berbasis file tradisional tidak memadai untuk melawan canggih ancaman seperti ini, "kata Microsoft.
Namun, perusahaan mengatakan bahwa "perilaku malware menghasilkan jejak kaki yang terlihat jelas bagi siapa saja yang tahu ke mana harus mencari."
Pada bulan Juli tahun ini, Microsoft juga menemukan dan melaporkan kampanye malware tanpa fileless lain , dijuluki Astaroth , yang dirancang untuk mencuri informasi sensitif pengguna, tanpa menjatuhkan file yang dapat dieksekusi pada disk atau menginstal perangkat lunak apa pun pada mesin korban.
Microsoft mengatakan perlindungan generasi berikutnya Windows Defender ATP mendeteksi serangan malware tanpa fileless ini pada setiap tahap infeksi dengan melihat perilaku yang ganjil dan berbahaya, seperti eksekusi skrip dan alat.
Sumber Artikel : TheHackerNews
