Cyberthreat.id - Peneliti keamanan siber di Microsoft dan Cisco Talos, menemukan malware baru - dijuluki "Nodersok" dan "Divergent". Penjahat cyber mendistribusikannya melalui iklan online berbahaya dan menginfeksi pengguna menggunakan drive-by-download attack.

The Hacker News menyebutkan serangkaian malware baru yang beredar di Internet itu telah menginfeksi ribuan komputer di seluruh dunia dan kemungkinan besar, program antivirus Anda tidak akan dapat mendeteksinya.

Penyebabnya, malware canggih yang tak berbayar dan hanya memanfaatkan utilitas sistem bawaan dan alat pihak ketiga untuk memperluas fungsionalitas dan kompromi komputer, daripada menggunakan potongan kode berbahaya.

Bahkan, disebutkan teknik membawa alat sendiri yang sah itu efektif dan jarang terlihat di alam liar, membantu penyerang untuk berbaur dalam aktivitas jahat mereka dengan aktivitas jaringan biasa atau tugas administrasi sistem sambil meninggalkan lebih sedikit jejak kaki.

Pertama kali terlihat pada pertengahan Juli lalu, malware dirancang untuk mengubah komputer Windows yang terinfeksi menjadi proxy, yang menurut Microsoft, kemudian dapat digunakan oleh penyerang sebagai relay untuk menyembunyikan lalu lintas berbahaya; sementara Cisco Talos meyakini proksi tersebut digunakan untuk penipuan klik agar menghasilkan pendapatan bagi penyerang.

Proses Infeksi Multi Tahap

The Hacker News menjelaskan, infeksi dimulai ketika iklan berbahaya menjatuhkan file aplikasi HTML (HTA) di komputer pengguna, yang, ketika diklik, mengeksekusi serangkaian muatan JavaScript dan skrip PowerShell yang akhirnya mengunduh dan menginstal malware Nodersok.

"Semua fungsi yang relevan berada di skrip dan shellcodes yang hampir selalu datang dalam bentuk terenkripsi, kemudian didekripsi, dan dijalankan sementara hanya dalam memori. Tidak ada eksekusi berbahaya yang pernah ditulis ke disk," Microsoft menjelaskan.

Seperti yang diilustrasikan dalam diagram, kode JavaScript menghubungkan ke layanan Cloud dan domain proyek yang sah untuk mengunduh dan menjalankan skrip tahap kedua dan komponen terenkripsi tambahan, termasuk:

• PowerShell Scripts - upaya menonaktifkan antivirus Windows Defender dan pembaruan Windows.
• Binary Shellcode - upaya meningkatkan hak istimewa menggunakan antarmuka COM yang ditingkatkan secara otomatis.
• Node.exe - Implementasi Windows dari kerangka kerja Node.js yang populer, yang dipercaya dan memiliki tanda tangan digital yang valid, menjalankan JavaScript berbahaya untuk beroperasi dalam konteks proses tepercaya.
• WinDivert (Windows Packet Divert) - utilitas penangkapan dan manipulasi paket jaringan yang sah dan kuat yang digunakan malware untuk memfilter dan memodifikasi paket keluar tertentu.

Akhirnya, malware menjatuhkan muatan JavaScript akhir yang ditulis untuk kerangka kerja Node.js yang mengubah sistem yang dikompromikan menjadi proxy.

"Ini menyimpulkan infeksi, pada akhirnya filter paket jaringan aktif, dan mesin bekerja sebagai zombie proxy potensial," Microsoft menjelaskan.

"Ketika sebuah mesin berubah menjadi proxy, itu dapat digunakan oleh penyerang sebagai relay untuk mengakses entitas jaringan lainnya (situs web, server C&C, mesin yang dikompromikan, dll.), Yang dapat memungkinkan mereka melakukan kegiatan berbahaya yang tersembunyi."

Menurut para ahli di Microsoft, mesin proxy berbasis Node.js saat ini memiliki dua tujuan utama — pertama, menghubungkan sistem yang terinfeksi kembali ke server perintah-dan-kontrol yang dikendalikan penyerang, dan kedua, ia menerima permintaan HTTP ke proxy kembali ke sana.

Di sisi lain, para ahli di Cisco Talos menyimpulkan bahwa penyerang menggunakan komponen proxy ini untuk memerintahkan sistem yang terinfeksi untuk menavigasi ke halaman web sewenang-wenang untuk monetisasi dan tujuan penipuan klik.

Ribuan Pengguna Windows Terinfeksi Nodersok

Menurut Microsoft, malware Nodersok telah menginfeksi ribuan mesin dalam beberapa minggu terakhir, dengan sebagian besar target berada di Amerika Serikat dan Eropa.

Sementara malware terutama berfokus pada penargetan pengguna rumahan Windows, para peneliti telah melihat sekitar 3% dari serangan yang menargetkan organisasi dari sektor industri, termasuk pendidikan, kesehatan, keuangan, ritel, dan layanan bisnis dan profesional.

Karena kampanye malware menggunakan teknik fileless canggih dan mengandalkan infrastruktur jaringan yang sulit dipahami dengan menggunakan alat yang sah, kampanye serangan terbang di bawah radar, maka program antivirus tradisional berbasis tanda tangan sangat sulit mendeteksi.

"Jika kami mengecualikan semua file yang bersih dan sah yang dimanfaatkan oleh serangan, yang tersisa hanyalah file HTA awal, payload berbasis Node.js akhir, dan banyak file yang dienkripsi. Tanda tangan berbasis file tradisional tidak memadai untuk melawan kecanggihan ancaman seperti ini," kata Microsoft.

Namun, perusahaan mengatakan "perilaku malware meninggalkan jejak kaki yang terlihat jelas bagi siapa saja yang tahu ke mana harus mencari."

Pada Juli lalu,  Microsoft juga menemukan dan melaporkan kampanye malware tanpa fileless lain, dijuluki Astaroth, yang dirancang untuk mencuri informasi sensitif pengguna, tanpa menjatuhkan file yang dapat dieksekusi pada disk atau menginstal perangkat lunak apa pun pada mesin korban.

Microsoft mengatakan perlindungan generasi berikutnya Windows Defender ATP mendeteksi serangan malware tanpa fileless ini pada setiap tahap infeksi dengan melihat perilaku yang ganjil dan berbahaya, seperti eksekusi skrip dan alat.[]