• De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

Pas op! Nieuwe "Nodersok" bestandsloze malware hackt en verandert de Windows PC in Zombie Proxy.

  • Onderwerp starter Abraham54
  • Startdatum
Status
Niet open voor verdere reacties.
A

Abraham54

Gast
Microsoft heeft een serieuze waarschuwing uitgegeven over de nieuwe vorm van de sluipende,
bestandsloze malwarecampagne "Nodersok", die Windows-computers aanvalt met behulp van "leven van het land" technieken.

Living-off-the-land Binaries (LOLBin) techniek verwijst naar het misbruik van legitieme Windows bestanden en gebruikt deze
techniek om daarmee met hardnekkigheid kwaadaardige activiteiten uit te voeren in de beoogde Windows-machine.

Microsoft-onderzoekers volgen deze campagne al enkele weken onafgebroken en bevestigen dat de malware duizenden
slachtoffers over de hele wereld heeft geïnfecteerd en zich vooral richt op slachtoffers in de Verenigde Staten en Europa.

Bedreigingsacteurs maken gebruik van de geavanceerde techniek met deze malwarecampagne zonder bestanden,
die helpt om gemakkelijk door te dringen in het netwerk en in stilte vertrouwt op de netwerkinfrastructuur.

Onderzoekers hebben deze malwarecampagne in juli in eerste instantie ontdekt via telemetriegegevens van
Windows Defender en bevestigen dat de Nodersok verschillende sectoren hebben aangevallen,
waaronder de gezondheidszorg, de financiële sector, het vervoer, de luchtvaart, het onderwijs en nog veel meer.

Nodersok campagne levert voornamelijk 2 legitieme hulpmiddelen aan infectie van de machine. een is Node.exe,
een populaire Node.js kader dat wordt gebruikt in veel apps en een andere is WinDivert,
een hulpprogramma voor het vastleggen van het netwerk.

Deze hulpmiddelen zijn noch kwaadwillig noch kwetsbaar, maar deze hebben interessante eigenschappen en
Nodersok installeert een paar zeer eigenaardige bestanden die deze bestandsloze competenties gebruiken en
verandert daarmee de besmette machines in proxy zombies.

Nodersok malware infectie keten

Aanvallers laten het HTA-bestand via kwaadaardige advertenties en gecompromitteerde websites in de machine
van het slachtoffer vallen en de Javascript-code die zich in het HTA-bestand bevindt, downloadt de tweede fase
component, welke ook een andere Javascript-code is.

Bedreigingsactoren kiezen met name voor de legitieme content delivery service Cloudfront, die geen kwaadaardige
dienst is, maar het helpt de aanvaller om het detectiealarm stil te houden.

Onderzoekers hebben geleerd dat dezelfde strategie ook werd gebruikt door de Astaroth campagne en de
aanvaller die misbruik maakt van de legitieme storage.googleapis.com service.

Zodra de malware de tweede fase van de component heeft gelanceerd, downloadt het de nieuwe PowerShell-opdracht
door de gecodeerde opdrachttekst in de omgevingsvariabele te verbergen.

Fig3c-Nodersok-attack-chain.png

Het Powershell commando downloadt en voert de extra versleutelde componenten uit die zullen proberen de
Windows Defender antivirusprogramma's en Windows-updates uit te schakelen.

Een andere binaire Shellcode poogt om de verhoging van de systeemrechten uit te voeren en ook het legitieme
nodejs.exe programma te downloaden van de officiële nodejs.org website.

Volgens een onderzoek van Microsoft: "Dit laatste JavaScript is de werkelijke uiteindelijke payload die
geschreven is voor het Node.js framework dat het apparaat in een proxy verandert. Dit concludeert de infectie,
aan het einde waarvan het netwerkpakketfilter actief is en de machine werkt als een potentiële proxy zombie. “

Zodra de machine van het slachtoffer een proxy wordt, kunnen bedreigingsacteurs toegang krijgen tot andere netwerkentiteiten (websites, C&C-servers, gecompromitteerde machines, enz.), die hen in staat kunnen stellen sluipende kwaadaardige activiteiten uit te voeren. Zegt Microsoft.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan