Nodersok e Divergent: tenete bene a mente questi nomi, sono quelli che identificano la nuova famiglia di malware fileless individuati dai ricercatori di Microsoft e Cisco Talos che ha già infettato migliaia di computer con sistema operativo Windows in tutto il mondo (figura 1). Dato la sua peculiare modalità di attacco, è probabile che gli antivirus a oggi installati nei PC non siano ancora in grado di rilevare questo pericoloso malware che viene distribuito principalmente tramite pubblicità online dannose e infetta gli utenti utilizzando un attacco di tipo drive-by-download (un attacco che “forza” il browser a scaricare ed eseguire sul proprio computer un malware).
Perché Nodersok è pericoloso
Individuato per la prima volta a metà luglio di quest’anno, il malware è stato progettato per trasformare i computer Windows infetti in proxy, che secondo Microsoft possono essere utilizzati dagli aggressori come inoltro per nascondere il traffico dannoso. Secondo gli esperti di Microsoft, il motore proxy basato su Node.js del malware ha attualmente due scopi principali: in primo luogo, collega nuovamente il sistema infetto a un server remoto di comando e controllo controllato dagli aggressori e, in secondo luogo, riceve richieste HTTP per riconsegnarlo.
Gli esperti di Cisco Talos (che chiamano il malware Divergent) ritengono che gli aggressori utilizzano questo componente proxy per indurre i sistemi infetti a navigare su pagine Web arbitrarie a fini di monetizzazione e clic fraudolenti.
Come funziona Nodersok
Dopo un processo di tracciamento e di analisi laboratori Microsoft, hanno identificato la catena dell’infezione (figura 2).
L’infezione inizia quando gli annunci dannosi rilasciano file HTML (HTA) sui computer degli utenti, che, quando vengono cliccati, eseguono una serie di payload JavaScript e script PowerShell che alla fine scaricano e installano il malware Nodersok: “Tutte le funzionalità rilevanti risiedono negli script e nei codici shell che vengono quasi sempre crittografati, vengono quindi decrittografati ed eseguiti solo in memoria. Nessun eseguibile dannoso viene mai scritto sul disco”, spiega Microsoft.
Come è successo per un altro famoso malware, Astaroth, ogni fase della catena di infezione esegue solo LOLBin legittimi, sia dalla macchina stessa (mshta.exe, powershell.exe) o scaricati da terze parti (node.exe, Windivert.dll / sys). Tutte le funzionalità rilevanti risiedono negli script e nei codici shell che vengono quasi sempre crittografati, vengono quindi decrittografati ed eseguiti solo in memoria; nessun eseguibile dannoso viene mai scritto sul disco non lasciando quindi alcuna traccia.
Microsoft specifica che la catena di infezione illustrata in figura è stata costantemente osservata in diverse macchine attaccate dall’ultima variante di Nodersok; altri attacchi, con varianti di questo malware (il cui payload JavaScript principale era denominato 05sall.js o 04sall.js), sono state osservate installando nel registro comandi PowerShell con codifica dannosa che finirebbero per decodificare ed eseguire il payload eseguibile binario finale.
Come difendersi da Nodersok
Dato che, come abbiamo visto, i malware fileless non lasciano tracce nel proprio hard disk (a parte il file HTA iniziale, il payload in JavaScript e parecchi altri file criptati), gli antivirus tradizionali non sono in grado di fronteggiare questo nuovo tipo di minaccia. È quindi opportuno utilizzare sistemi con sistemi multipli di protezione (basati su machine learning) che possano, per esempio, individuare l’”impronta” lasciata dal file HTA iniziale oppure monitorare costantemente la memoria in modo da identificare immediatamente script che vengono decrittografati ed eseguiti direttamente in memoria.
