Windows 10 na celowniku Divergent/Nodersok. Cisco Talos i Microsoft potwierdzają zagrożenie

Firmy Microsoft i Cisco Talos zidentyfikowały nowe szkodliwe oprogramowanie, które szybko rozprzestrzeniło się na tysiące komputerów w Europie i Stanach Zjednoczonych. Microsoft deklaruje, że Defender potrafi je już skutecznie rozpoznać.

Komputery z Windows są atakowane przez nowe szkodliwe oprogramowanie
Komputery z Windows są atakowane przez nowe szkodliwe oprogramowanie
Oskar Ziomek

30.09.2019 | aktual.: 30.09.2019 18:38

Co interesujące, choć zarówno badacze z Microsoftu, jak i Cisco Talos opublikowali obszerne opisy dotyczące nowego zagrożenia, wciąż nie ma jednoznacznego i spójnego wyjaśnienia jak dokładnie działa. Problematyczny malware ma nawet dwie nazwy. Cisco Talos określa go jako Divergent, zaś Microsoft mówi o oprogramowaniu Nodersok.

Format pakietów TCP, które są analizowane przez Nodersok, źródło: Microsoft.
Format pakietów TCP, które są analizowane przez Nodersok, źródło: Microsoft.

Divergent/Nodersok ukrywa swoją aktywność w plikach binarnych Windowsa, jest to więc tak zwany LOLBin. W tym przypadku dodatkowo wykorzystywany jest framework Node.js oraz WinDivert – narzędzie do przechwytywania i manipulacji pakietami sieciowymi. W praktyce zagrożony jest więc między innymi Windows 7, 8 i 10.

Uproszczony schemat działania Divergent. Ofiara w kilku krokach jest przekierowana na serwer z reklamami, źródło: Cisco Talos.
Uproszczony schemat działania Divergent. Ofiara w kilku krokach jest przekierowana na serwer z reklamami, źródło: Cisco Talos.

Microsoft podaje, że malware stara się przekierowywać ruch sieciowy, zaś Cisco Talos tłumaczy, iż chodzi o nakłanianie do kliknięć w sponsorowane linki. Obydwie firmy deklarują natomiast, że ich oprogramowanie zabezpieczające zostało już zaktualizowane i potrafi skutecznie rozpoznać Divergent/Nodersok, choć jednocześnie mówi się, że malware zdążył już zainfekować tysiące komputerów.

Warto zaznaczyć, że opisywany malware jest najprawdopodobniej stale rozwijany. Badacze z Cisco Talos w czasie analizy zidentyfikowali bowiem kilka wersji modułu wykorzystywanego do instalacji Divergent.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (19)