"Phần mềm độc hại không có tệp" mới khó phát hiện đang lan truyền hàng nghìn người

Phần mềm độc hại khó phát hiện mới đang được phát triển tích cực và hiện đang xâm nhập vào hàng nghìn máy tính trên khắp Châu Âu và Hoa Kỳ, theo Microsoft và Cisco Talos.

Phần mềm độc hại, được đặt tên là Nodersok của Microsoft, hoặc Divergent của Cisco Talos; hoạt động bằng cách biến máy tính của bạn thành proxy để tạo điều kiện cho phần mềm độc hại lây lan, sử dụng khung Node.js và WinDivert -mà là gói chuyển hướng và bắt gói ở chế độ người dùng dành cho Windows: 2008, 7, 10 và 2016.

Một Talos của Cisco đã mô tả các hoạt động của Phần mềm độc hại theo các thuật ngữ sau:

Phần mềm độc hại này có thể bị kẻ tấn công tận dụng để nhắm mục tiêu vào các mạng công ty và dường như được thiết kế chủ yếu để thực hiện hành vi gian lận nhấp chuột. Nó cũng có một số đặc điểm đã được quan sát thấy trong phần mềm độc hại gian lận nhấp chuột khác, chẳng hạn như Kovter.

Windows Defender có thể xác định và chặn Nodersok hay còn gọi là Divergent, nhưng việc phát hiện lây nhiễm trong trường hợp đầu tiên khó hơn rất nhiều.

Nó sử dụng các kỹ thuật không cần lọc tiên tiến, nhưng cũng vì nó dựa vào cơ sở hạ tầng mạng khó nắm bắt khiến cuộc tấn công bay dưới tầm radar.

Microsoft khuyên người dùng tránh chạy các tệp HTA được tìm thấy trên hệ thống của họ và để ý các tệp không được nhận dạng; đảm bảo bạn không chạy bất kỳ phần mềm nào mà bạn không thể xác định được nguồn gốc.

nguồn: ibtimes