一种难以检测到的恶意软件正在快速传播

LYA 看雪学院 2021-03-13

Windows用户请当心！

一种新的恶意软件正在快速传播。

而你的杀毒软件将无法检测到它。

新的无文件恶意软件

微软和思科两家公司近日报告一种新的恶意软件正在影响全球成千上万台Windows计算机，而且威胁正在不断传播。

微软将其称为Nodersok，思科将其称为Divergent。

该恶意软件是一款无文件恶意软件，主要通过恶意的在线广告进行传播，并且使用偷渡式下载攻击感染用户计算机。

什么是无文件恶意软件？没有文件要怎么运行呢？实际上这里的无文件指的是通过进驻内存来保证隐身，以达到攻击者的目的。

Nodersok正是利用合法的系统内置程序来提高权限，悄无声息地对计算机发起攻击，并不使用任何恶意代码。

这种手法使其很难被安全产品检测到，从而使攻击者能够以管理员的身份访问系统，而留下的足迹却很少。

感染过程

当用户在计算机上单击HTA文件时，这种感染就开始了。

该恶意软件执行一系列JavaScript和PowerShell脚本，最终将下载并安装Nodersok恶意软件。

感染过程是多阶段的，JavaScript将恶意软件连接到合法的领域，以下载并运行第二阶段的脚本和其他加密组件，包括PowerShell、二进制Shellcode 、Node.exe和WinDivert。

此外，该恶意软件本身具有多个组件，被用以禁用Windows本身的功能和提高系统权限。

当感染结束后，受感染的计算机就成为潜在的代理，并形成中继服务器。攻击者可以利用其执行隐蔽的恶意活动，以转发恶意流量或进行点击欺诈。

为了避免感染，微软建议Windows用户不要运行未知的HTA文件，特别是那些他们不记得下载来源或无法识别的文件。

* 本文由看雪编辑 LYA 编译自 The Hacker News，转载请注明来源及作者。