Nuovi "malware senza file" difficili da rilevare si stanno diffondendo a migliaia

Secondo Microsoft e Cisco Talos, un nuovo malware difficile da rilevare è in fase di sviluppo attivo e si sta attualmente diffondendo in migliaia di computer in Europa e negli Stati Uniti.

Il malware, soprannominato Nodersok da Microsoft o Divergent da Cisco Talos; funziona trasformando il tuo computer in un proxy per facilitare la diffusione del malware, utilizzando il framework Node.js e WinDivert, che è un pacchetto di acquisizione e deviazione dei pacchetti in modalità utente per Windows: 2008, 7, 10 e 2016.

Un Cisco Talos ha descritto le attività del malware in questi termini:

Questo malware può essere sfruttato da un utente malintenzionato per prendere di mira le reti aziendali e sembra essere progettato principalmente per condurre clic fraudolenti. Presenta anche diverse caratteristiche che sono state osservate in altri malware di frode sui clic, come Kovter.

Windows Defender potrebbe essere in grado di identificare e bloccare Nodersok alias Divergent, ma rilevare l'infezione nel primo caso è molto più difficile.:

Impiega tecniche avanzate senza file, ma anche perché si basa su un'infrastruttura di rete sfuggente che fa sì che l'attacco voli sotto il radar.

Microsoft consiglia agli utenti di evitare di eseguire file HTA trovati sui loro sistemi e di tenere d'occhio i file non riconosciuti; assicurandoti di non eseguirne uno di cui non puoi identificare l'origine.

Fonte: ib volte