Tu antivirus no puede detectar este nuevo virus

Los antivirus que usamos en Windows son cada vez más seguros. En el listado de mejores antivirus de 2019 podemos ver que muchos de ellos obtienen un 6 sobre 6 en todas las protecciones, analizando miles de virus en el proceso. Sin embargo, hay algunos virus que no son detectados; sobre todo los que usan vulnerabilidades de día cero. Hoy estamos ante uno de ellos.


Nodersok: el nuevo virus que no se instala en tu PC y reside en la memoria


Esta nueva “cepa” de virus ha infectado ya a miles de ordenadores en el mundo, y no ha sido detectado todavía por ningún antivirus. La clave radica en que es un tipo de malware que no utiliza archivos, además de que utiliza herramientas legítimas del sistema y otras herramientas de terceros para extender su funcionalidad en el sistema en lugar de usar código malicioso.


El malware, bautizado como Nodersok y Divergent, se distribuye a través de anuncios online e infecta ordenadores para convertirlos en proxies para esconder tráfico malicioso y usarlo para hacer clicks en anuncios para generar dinero sin que el usuario se dé cuenta.


El proceso de infección arranca cuando un anuncio malicioso descarga una aplicación HTML (HTA) en el ordenador, y una vez se hace click en él, ejecuta una serie de JavaScripts y scripts de PowerShell maliciosos para descargar a instalar el malware más potente (Nodersok en este caso).


A través de los scripts de PowerShell, el malware intenta desactivar Windows Defender y Windows Update, mientras que mediante shellcode binario intenta escalar privilegios. Para ejecutarse de manera segura con el “permiso” del sistema, se aprovecha de la implementación de Windows del framework Node.js, que es fiable para el sistema y tiene certificado de confianza. Gracias a ello, el malware puede ejecutarse en un entorno de confianza como si fuera un proceso seguro. Por último, otro de los elementos del malware es WinDivert, que captura paquetes de red para filtrar y modificar determinados paquetes que salgan del PC.


Una vez ha completado ese proceso, el malware suelta la carga JavaScript final para el framework Node.js que convierte el ordenador en un proxy, de tal manera que un atacante puede usar el ordenador como un punto de acceso a webs o servidores de control para realizar operaciones maliciosas de manera oculta. Básicamente, convierte tu ordenador en un VPN que va a ser usado con fines espurios.


Microsoft dice que Windows Defender puede detectarlo, pero el malware lo desactivaba


Según dice Microsoft, ahora mismo el malware está siendo usado para conectar un ordenador a un servidor de control y recibir solicitudes HTTP desde ese servidor. Cisco, por su parte, ha detectado que se está usando para navegar por páginas web arbitrarias para monetización, además de fraude haciendo clicks falsos de anuncios.


Todas las funciones importantes del malware se ejecutan a través de elementos cifrados, que sólo se descifran para ser ejecutados desde la memoria RAM, de manera que nunca llegan a tocar ni siquiera un disco duro o un SSD. Actualmente la mayoría de usuarios afectados se encuentran en Estados Unidos y Europa (España apenas se ha visto afectada), atacando sobre todo a ordenadores personales; aunque hay un 3% de dispositivos afectados dentro de empresas.


Microsoft, por su parte, afirma que Windows Defender es capaz de detectar la ejecución de scripts como las que usa este malware, aunque no explica cómo ha podido infectar entonces a miles de ordenadores sin ser visto. Una campaña parecida en el mes de julio bajo el nombre de Astaroth buscaba robar datos personales de usuarios.



Fuente: TendenciasTech


¿Estás buscando capacitarte en la protección de equipos con sistema operativo Windows? Con EducaciónIT aprenderás a defender estos tipos de sistemas, conociendo las mejores técnicas en los bloqueos de los distintos ataques que se puedan suscitar, comprendiendo las herramientas y protocolos de seguridad más importantes en estos casos, y mucho más. No dudes en ser parte de nuestro Curso de Seguridad en Windows: Server Hacking-Windows Hacking.

Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.