Technology HowTo

Nodersok, come difendersi dal malware fileless che ha infettato migliaia di computer

Individuato a luglio, il malware fileless Nodersok trasforma i computer Windows infetti in proxy per diffondere malware o per indurre i computer a navigare pagine Web arbitrarie per clic fraudolenti. Come funziona? E come difendersi?

Pubblicato il 01 Ott 2019

Nodersok-diffusione-paese-e-settore-pp

Nodersok e Divergent: tenete bene a mente questi nomi, sono quelli che identificano la nuova famiglia di malware fileless individuati dai ricercatori di Microsoft e Cisco Talos che ha già infettato migliaia di computer con sistema operativo Windows in tutto il mondo (figura 1). Dato la sua peculiare modalità di attacco, è probabile che gli antivirus a oggi installati nei PC non siano ancora in grado di rilevare questo pericoloso malware che viene distribuito principalmente tramite pubblicità online dannose e infetta gli utenti utilizzando un attacco di tipo drive-by-download (un attacco che “forza” il browser a scaricare ed eseguire sul proprio computer un malware).

Perché Nodersok è pericoloso

Individuato per la prima volta a metà luglio di quest’anno, il malware è stato progettato per trasformare i computer Windows infetti in proxy, che secondo Microsoft possono essere utilizzati dagli aggressori come inoltro per nascondere il traffico dannoso. Secondo gli esperti di Microsoft, il motore proxy basato su Node.js del malware ha attualmente due scopi principali: in primo luogo, collega nuovamente il sistema infetto a un server remoto di comando e controllo controllato dagli aggressori e, in secondo luogo, riceve richieste HTTP per riconsegnarlo.

Gli esperti di Cisco Talos (che chiamano il malware Divergent) ritengono che gli aggressori utilizzano questo componente proxy per indurre i sistemi infetti a navigare su pagine Web arbitrarie a fini di monetizzazione e clic fraudolenti.

Come funziona Nodersok

Dopo un processo di tracciamento e di analisi laboratori Microsoft, hanno identificato la catena dell’infezione (figura 2).

Nodersok: catena di attacco
Nodersok: catena di attacco. Fonte: Microsoft

L’infezione inizia quando gli annunci dannosi rilasciano file HTML (HTA) sui computer degli utenti, che, quando vengono cliccati, eseguono una serie di payload JavaScript e script PowerShell che alla fine scaricano e installano il malware Nodersok: “Tutte le funzionalità rilevanti risiedono negli script e nei codici shell che vengono quasi sempre crittografati, vengono quindi decrittografati ed eseguiti solo in memoria. Nessun eseguibile dannoso viene mai scritto sul disco”, spiega Microsoft.

Come è successo per un altro famoso malware, Astaroth, ogni fase della catena di infezione esegue solo LOLBin legittimi, sia dalla macchina stessa (mshta.exe, powershell.exe) o scaricati da terze parti (node.exe, Windivert.dll / sys). Tutte le funzionalità rilevanti risiedono negli script e nei codici shell che vengono quasi sempre crittografati, vengono quindi decrittografati ed eseguiti solo in memoria; nessun eseguibile dannoso viene mai scritto sul disco non lasciando quindi alcuna traccia.

Microsoft specifica che la catena di infezione illustrata in figura è stata costantemente osservata in diverse macchine attaccate dall’ultima variante di Nodersok; altri attacchi, con varianti di questo malware (il cui payload JavaScript principale era denominato 05sall.js o 04sall.js), sono state osservate installando nel registro comandi PowerShell con codifica dannosa che finirebbero per decodificare ed eseguire il payload eseguibile binario finale.

Come difendersi da Nodersok

Dato che, come abbiamo visto, i malware fileless non lasciano tracce nel proprio hard disk (a parte il file HTA iniziale, il payload in JavaScript e parecchi altri file criptati), gli antivirus tradizionali non sono in grado di fronteggiare questo nuovo tipo di minaccia. È quindi opportuno utilizzare sistemi con sistemi multipli di protezione (basati su machine learning) che possano, per esempio, individuare l’”impronta” lasciata dal file HTA iniziale oppure monitorare costantemente la memoria in modo da identificare immediatamente script che vengono decrittografati ed eseguiti direttamente in memoria.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4