Miles de PC infectadas con el malware de Windows: esto es lo que debe hacer

Miles de PC de consumo han sido víctimas de malware que los convierte en zombies.

alerta de malware

Microsoft y Cisco Talos publicaron informes completos sobre el malware, explicando cómo el ataque hace que los usuarios descarguen un archivo HTML malicioso y luego usan el popular marco Node.js (que ejecuta Javascript fuera de un navegador web) y WinDivert (una herramienta de captura de paquetes de red) aplicaciones para infectar y tomar el control de una computadora. La aplicación HTML infectada, o HTA, generalmente se distribuye a través de anuncios maliciosos enviados a través de servicios legítimos de entrega de contenido, como Amazon Cloudfront.

Mejor opción

HP 15-db0092ns - Ordenador portátil 15.6 HD

HP 15-db0092ns - Ordenador portátil 15.6 HD (AMD A4-9125 Dual-Core, 4 GB RAM, 1 TB SATA, AMD Radeon R3, Windows 10 Home) Negro - Teclado QWERTY Español en Amazon

Mejor relación calidad precio

HP 15s-eq0004ns - Ordenador portátil de 15.6 HD

HP 15s-eq0004ns - Ordenador portátil de 15.6 HD (AMD Ryzen 3 3200U, 8 GB RAM, 256 GB, AMD Radeon Vega 3, Windows 10 Home) Blanco - Teclado QWERTY Español en Amazon

HP Gaming Pavilion 15-ec0005ns - Ordenador portátil de 15.6

HP Gaming Pavilion 15-ec0005ns - Ordenador portátil de 15.6 FHD (AMD Ryzen 5 3550H, 8 GB RAM, 512 GB SSD, gráficos NVIDIA GeForce GTX 1050-3G, Sin sistema operativo) negro - Teclado QWERTY Español en Amazon

Huawei Matebook D15 - Ordenador Portátil de 15.6 FullHD

Huawei Matebook D15 - Ordenador Portátil de 15.6 FullHD (AMD Ryzen 5 3500u, Multi-Screen Collaboration, 8GB RAM, 256GB SSD. Windows 10 Home), Mystic Silver, Teclado Qwerty Español en Amazon

Acer Aspire 3 - Ordenador Portátil de 15.6 FHD Comfy

Acer Aspire 3 - Ordenador Portátil de 15.6 FHD Comfy View LED LCD (Intel Core i5-6200U, 8 GB de RAM, SSD de 512GB, Sin sistema operativo) negro - Teclado QWERTY Español en Amazon

ASUS K543BA-GQ749 - Portátil de 15.6 HD (A9-9425, 8GB

ASUS K543BA-GQ749 - Portátil de 15.6 HD (A9-9425, 8GB RAM, 256GB SSD, AMD Radeon Graphics, sin sistema operativo) Gris Estrella - Teclado QWERTY Español en Amazon

HP 14s-dq1008ns - Ordenador portátil de 14 FHD (Intel

HP 14s-dq1008ns - Ordenador portátil de 14 FHD (Intel Core i5-1035G1, 8 GB RAM, 512 GB SSD, tarjeta gráfica integrada, sin Sistema operativo) gris - Teclado QWERTY Español en Amazon

HP Pavilion x360 - 14-dh1011ns - Ordenador portátil de 14

HP Pavilion x360 - 14-dh1011ns - Ordenador portátil de 14 FullHD (Intel Core i3-10110U, 4GB de RAM, 128 GB SSD, Intel UHD Graphics, Windows 10) Plata ceniza - teclado QWERTY Español en Amazon

ASUS ZenBook 14 UX431FA-AM132T - Portátil de 14

ASUS ZenBook 14 UX431FA-AM132T - Portátil de 14 FullHD (Intel Core i5-10210U, 8GB RAM, 512GB SSD, Intel UHD, Windows 10) Metal Azul Plata - Teclado QWERTY Español en Amazon

Lenovo 81HL004XSP Portatil V130, 15.6 HD (1366x768)

Lenovo 81HL004XSP Portatil V130, 15.6 HD (1366x768), Intel Celeron N4000, 4GB RAM, 256GB SSD en Amazon

Una vez que se ejecuta el archivo, descarga un código Javascript adicional que finalmente inicia PowerShell y escribe un script malicioso. Eso sucede varias veces, con cada instancia de PowerShell conduciendo al próximo ataque, comenzando con la desactivación del Antivirus de Windows Defender y terminando con una carga útil de JavaScript que se ejecuta en node.exe. La carga útil final de JavaScript convierte el dispositivo infectado en un zombie proxy que puede ser utilizado por un atacante para ejecutar diversas actividades maliciosas.

Microsoft llama al malware Nodersok mientras que Cisco Talos lo llama Divergente. De cualquier manera, se dice que el ataque apunta principalmente a los consumidores cotidianos en los Estados Unidos y Europa y Microsoft dice que el 3% de los encuentros fueron vistos por organizaciones en los sectores de educación, salud o financiero.

Existen teorías contradictorias sobre lo que realmente hace el malware. Cisco dice que el malware fue diseñado para generar ingresos mediante el fraude de clics, una técnica para generar cargos fraudulentos que les cuesta a los anunciantes miles de millones de dólares cada año. Microsoft, por otro lado, cree que el malware se creó como un relé para acceder a entidades de red y plantar códigos maliciosos.

Cualquiera sea el caso, el ataque es bastante sigiloso ya que utiliza técnicas asociadas con malware "sin archivos", o malware que deja pocos rastros para que los investigadores descubran.

"La campaña es particularmente interesante no solo porque emplea técnicas avanzadas sin archivos, sino también porque se basa en una esquiva infraestructura de red que hace que el ataque vuele por debajo del radar", escribió Microsoft en una publicación de blog. "Descubrimos esta campaña a mediados de julio, cuando surgieron patrones sospechosos en el uso anómalo de MSHTA.exe de la telemetría ATP de Microsoft Defender. En los días siguientes, se destacaron más anomalías, que mostraron un aumento de hasta diez veces en la actividad". "

Cómo proteger su PC de Nodersok / Divergent

A pesar de lo difícil que puede ser este malware recién descubierto, tanto Microsoft como Cisco prometen que sus servicios — Windows Defender y Cisco Advanced Malware Protection (AMP), respectivamente — pueden detectar y detener el malware. Sin embargo, no todas las PC están equipadas con esos defensores antimalware y las soluciones de terceros tienen problemas con este malware en particular.

Si desea estar 100% protegido, Microsoft sugiere que no ejecute aplicaciones HTA (o HTML) en sus sistemas Windows, especialmente si no pueden rastrearlas hasta un propietario legítimo.

Crédito: Rawpixel.com/Shutterstock