Theo Engadget, cuộc tấn công khiến nạn nhân chạy tập tin HTA (ứng dụng HTML) thông qua quảng cáo lừa đảo hoặc tải xuống và khởi chạy một chuỗi sự kiện phức tạp. JavaScript trong trình HTA tải một tập tin JavaScript riêng biệt, xong lần lượt chạy một lệnh PowerShell để tải và chạy một loạt công cụ, bao gồm cả những công cụ vô hiệu hóa Windows Defender, yêu cầu kiểm soát nhiều hơn, các gói dữ liệu chụp và tạo proxy dự định.
Điều quan trọng, sự lây nhiễm phụ thuộc vào các chương trình hợp pháp để hoàn thành nhiệm vụ của mình, cho dù chúng được tích hợp vào Windows hay được tải xuống từ bên thứ ba. Cách tiếp cận khiến các nhóm bảo mật khó khăn hơn trong việc nghiên cứu mã và đưa ra các biện pháp đối phó.
Chưa rõ nhóm đứng sau phần mềm độc hại có tên Nodersok (hoặc Divergent) nói trên nhưng dường như đó là do tin tặc thông thường mà không phải do các tổ chức chính phủ hậu thuẫn. Cisco tin rằng phần mềm độc hại được thiết kế chủ yếu để gian lận nhấp chuột hoặc thực hành tự động tạo các nhấp chuột quảng cáo để tăng doanh thu từ các trang web. Hầu hết các mục tiêu là người dùng ở châu Âu và Mỹ mà không phải người dùng doanh nghiệp hoặc chính phủ.
Cả Microsoft và Cisco đều muốn phát huy khả năng của các hệ thống phòng thủ cấp doanh nghiệp của họ để ngăn chặn phần mềm độc hại. Tuy nhiên, hầu hết mọi người không có quyền truy cập vào những tài nguyên đó và phần mềm chống vi-rút dựa trên chữ ký thông thường chậm chạp hơn nhiều trong việc đối phó với phần mềm độc hại như vậy. Theo Microsoft, Nodersok đã nhắm mục tiêu đến hàng ngàn máy tính trong những tuần gần đây.
Bình luận (0)