nodersok

Nodersok, Divergent: Nouveau malware sans fichier cible les PC Windows

Découvert par les chercheurs en cybersécurité de Microsoft et Cisco Talos, le malware nommé “Nodersok” et “Divergent” est distribué via des publicités malveillantes en ligne et infecte les utilisateurs en utilisant attaque de téléchargement furtif (drive-by download).

Aperçu pour la première fois au milieu du mois de Juillet 2019, le malware a été conçu pour transformer les PC Windows infectés en proxys, qui selon Microsoft, peuvent être ensuite utilisé par les pirates en tant que relais pour cacher le trafic malveillant; alors que Cisco Talos pense que les proxys sont utilisés pour de la fraude au clic.

Un processus d’infection en plusieurs étapes

nodersok divergent fileless malware

L’infection commence quand les publicités malveillantes déposent un fichier HTML application (HTA) sur les ordinateurs des utilisateurs. Ces fichiers exécutent une série de payloads JavaScript et de scripts PowerShell qui téléchargent et installent le malware Nodersok.

“Toutes les fonctionnalité importantes se trouvent dans les scripts et shellcodes qui sont chiffrés, puis déchiffrés et s’exécute seulement dans la mémoire. Aucun exécutable malveillant ne s’écrit sur le disque,” a expliqué Microsoft.

Comme illustré dans le diagramme, le code JavaScript se connecte aux services du Cloud et aux domaines du projet pour télécharger et exécuter les scriptes de la seconde étape et les composants chiffrés additionnels, y compris:

  • Scripts PowerShell — tente de désactiver l’antivirus Windows Defender et la mise à jour Windows.
  • Shellcode Binaire — tente d’élever les privilèges en utilisant l’interface COM.
  • Node.exe — l’implémentation Windows de la populaire framework Node.js, elle a une signature digitale valide et exécute du JavaScript malveillant pour opérer dans le contexte d’un processus.
  • WinDivert (Windows Packet Divert) — une utilité qui permet de capturer et de manipuler des paquets de réseau que les malware utilisent pour filtrer et modifier certains paquets sortant.

Pour finir, le malware dépose le dernier payload JavaScript écrit pour le framework Node.js qui converti le système compromis en proxy.

“Cela conclut l’infection, à la fin de laquelle le filtre de paquet de réseau est actif et la machine opère en tant que potentiel proxy zombie,” a expliqué Microsoft.

“Quand une machine se transforme en proxy, elle peut être utilisé par des pirates en tant que relais pour accéder aux autres entités du réseau (sites, serveurs C&C, machines compromises, etc.), ce qui leur permet d’effectuer des activités malveillantes de manière furtive.”

nodersok divergent malware proxy

Selon les experts de Microsoft, le moteur de proxy basé sur Node.js a deux principaux objectifs. Le premier objectif est de connecter le système infecté vers un serveur command-and-control distant, contrôlé par le pirate et le deuxième est de recevoir des requêtes HTTP en retour.

nodersok divergent malware click fraud

D’une autre part, les experts de Cisco Talos ont conclu que les pirates utilisent ce composant proxy pour obliger les systèmes infectés à accéder à des pages Web arbitraires à des fins de monétisation et de fraude au clic..

Nodersok a infecté des milliers d’utilisateurs de Windows

Selon Microsoft, le malware Nodersok a déjà infecté des milliers de machines au cours des dernières semaines. La plupart des machines ciblées se trouve aux Etats-Unis et en Europe.

Alors que le malware se concentre prioritairement sur les utilisateurs particuliers de Windows, les chercheurs ont remarqué que 3% des attaques cible des organisations dans les secteurs de l’éducation, de la santé, de la finance, de la vente au détail etc…

Comme Nodersok emploie des techniques sans-fichiers avancées et se reposent sur des infrastructures réseaux évasives en utilisant des outils légitimes, la campagne d’attaque a été plus compliqué à détecter pour les programmes antivirus traditionnels.

“Si on exclut tout les fichiers légitimes utilisés par l’attaque, tout ce qui reste est le fichier HTA initial, le dernier payload basé sur Node.js, et quelques fichiers chiffrés. Les signatures traditionnelles de fichiers sont inadéquates pour contrer les menaces sophistiquées comme celle-ci,” a déclaré Microsoft.

Cependant, la compagnie a affirmé que le comportement de Nodersok produit une empreinte qui est détectable pour ceux qui savent où chercher.”

En Juillet cette année, Microsoft avait découvert et signalé une campagne de malware sans fichier, nommée Astaroth, qui était conçue pour subtiliser des informations sensibles, sans déposer aucun fichier exécutable sur le disque ou installer n’importe quel logiciel sur la machine de la victime.

Microsoft a déclaré que Windows Defender ATP détecte ces attaques de malwares sans fichier à chaque étape de l’infection en détectant les comportements anormaux et malveillants, tels que l’exécution de scripts et d’outils.