Neue, schwer zu erkennende „dateilose Malware“ verbreitet sich zu Tausenden

Laut Microsoft und Cisco Talos befindet sich neue schwer zu erkennende Malware in aktiver Entwicklung und verbreitet sich derzeit auf Tausenden von Computern in Europa und den USA.

Die Malware, die von Microsoft als Nodersok oder von Cisco Talos als Divergent bezeichnet wird; funktioniert, indem es Ihren Computer in einen Proxy verwandelt, um die Verbreitung der Malware zu erleichtern, indem es das Node.js-Framework und WinDivert verwendet – ein Paketerfassungs- und -umleitungspaket im Benutzermodus für Windows: 2008, 7, 10 und 2016.

Ein Cisco Talos beschrieb die Aktivitäten der Malware folgendermaßen:

Diese Malware kann von einem Angreifer genutzt werden, um Unternehmensnetzwerke anzugreifen, und scheint in erster Linie darauf ausgelegt zu sein, Klickbetrug durchzuführen. Es weist auch mehrere Merkmale auf, die bei anderer Klickbetrugs-Malware wie Kovter beobachtet wurden.

Windows Defender ist möglicherweise in der Lage, Nodersok alias Divergent zu identifizieren und zu blockieren, aber das Erkennen einer Infektion im ersten Fall ist viel schwieriger.:

Es verwendet fortschrittliche dateilose Techniken, aber auch, weil es sich auf eine schwer fassbare Netzwerkinfrastruktur stützt, die dazu führt, dass der Angriff unter dem Radar fliegt.

Microsoft rät Benutzern, die Ausführung von HTA-Dateien, die auf ihren Systemen gefunden wurden, zu vermeiden und nach nicht erkannten Dateien Ausschau zu halten; Stellen Sie sicher, dass Sie keine ausführen, deren Herkunft Sie nicht identifizieren können.

Quelle: ibtimes