Microsoft har avdekket en type skadevare som har infisert tusenvis av datamaskiner over hele verden.
Selskapet kaller skadevaren for en «zombie proxy» fordi den nærmest forvandler PC-en din til en zombie som lever sitte eget liv, uten at du er klar over det.
Bruker vanlige apper for å infisere maskinen din
Det var Microsofts Defender ATP Research-gruppe som oppdaget skadevaren, som offisielt har fått navnet Nodersok.
Skadevaren distribueres gjennom skadelige annonser som tvinger Windows-maskiner til å laste ned HTML-apper.
Annonse
Dersom brukeren kjører de nedlastede filene startes en omfattende hacking-prosess som innebærer at Powershell-scipt, Excel og JavaScript åpnes opp. Deretter brukes disse programmene for å laste ned og installere skadevaren.
«Alle de relevante funksjonene holder til i script og shellkoder som nesten alltid kommer inn krypert, men som deretter dekrypteres og kjøres mens de er i minnet. Ingen skadelige kjørbare filer skrives til disken», skriver Microsoft i et blogginnlegg. Selskapet omtaler derfor metoden som en «filløs» kampanje.
Skadevaren sørger blant annet for å deaktivere Windows Defender. Derfor har ikke antivirus-programvare fanget opp trusselen.
Uenige om motivasjonen
Microsoft tror at angriperne bruker denne metoden for å få tilgang til andre nettverk, og for deretter å gjennomføre skadelige angrep uten å legge igjen spor.
Cisco Talos, som også har publisert en rapport som omhandler trusselen, hevder på sin side at skadevaren ligner veldig på andre virus som er designet for å gjennomføre klikkbasert reklamesvindel. Denne formen for svindel skal i 2018 ha kostet annonsører 19 milliarder dollar, skriver Forbes.
Sikter seg inn på vanlige brukere
Som nevnt skal flere tusen maskiner være infisert av skadevaren. De fleste angrepene skal ha blitt gjennomført i september og har vært rettet mot vanlige forbrukere.
Både Microsoft og Cisco skal nå ha oppdatert programvaren sin for å kunne gjenkjenne lignende trusler i fremtiden.
Kilde:
The Inquirer
Annonse
