Pozor na nový vírus NodeLoader! Šíri sa cez YouTube a Discord a dokáže sa ukryť v tvojom zariadení. Nepomôže ti ani antivírus

Hackeri našli nový spôsob, ako môžu zostať v počítači obete bez toho, aby si to používateľ všimol.

POZOR-aktualna-tema_titulka
Zdroj: Vosveteit.sk

Naraziť dnes na online podvod je oveľa jednoduchšie, ako tomu bolo niekoľko rokov dozadu. S online podvodom sa môžeš stretnúť aj na takých miestach, kde by si to nečakal. Nedávno sme napríklad upozorňovali na to, že hackeri začali prelepovať regulárne QR kódy na parkoviskách falošnými, ktoré slúžia na zaplatenie parkovného s cieľom dostať ťa na phishingový web, cez ktorý ti ukradnú platobné údaje.

Dnes by sme ťa chceli upozorniť na ďalšiu kampaň hackerov, ktorú odhalili bezpečnostní experti zo zscaler.com. Útočníci v tomto prípade škodlivý softvér šíria netradičným spôsobom, a to cez YouTube či Discord. Poďme sa nižšie pozrieť na to, ako tento podvod prebieha.

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

NodeLoader kampaň naberá na sile. Tvoj počítač je v ohrození

Tento útok prebieha pomerne sofistikovane. Sústreďuje sa na ľudí, ktorí niečo hľadajú. Škodlivý softvér šíria primárne cez videá, napríklad herné, ktoré ponúkajú rôzne hacky. Video ponúka návod, pričom v popise videa sa nachádza odkaz, ktorý vedie na stránku imitujúcu regulárny web. Táto škodlivá stránka ale obsahuje infikované súbory, ktoré si je potrebné stiahnuť do zariadenia.

„ThreatLabz objavil kanály YouTube s niekoľkými videami obsahujúcimi škodlivé odkazy v ich popisoch. Tieto videá získali tisíce zobrazení. Niektoré popisy videí YouTube obsahujú odkazy na stiahnutie škodlivého softvéru z populárnych služieb na distribúciu softvéru, ako je MediaFire, zatiaľ čo iné obsahujú odkazy na webové stránky vytvorené samotnými hackermi.“, vysvetľujú experti na bezpečnosť.

Mechanizmus útoku spočíva v tom, že akonáhle si používateľ stiahne ZIP súbor, tak spolu s ním si stiahne aj vírus NodeLoader. Po spustení súboru sa stiahne PowerShell skript, ktorý vykonáva druhotné payloady, ako je napríklad stiahnutie ďalšie škodlivého softvéru, ako napríklad kryptomineru (napr. XMRig) alebo infostealeru (napr. Phemedrone Stealer, Lumma Stealer).

Toto je nový trik, ako sa udržia v tvojom počítači

Nebezpečné na tejto kampani je, že hackeri využívajú framework Node.js. Bežne sa používa na tvorbu serverových aplikácií, chatovacích nástrojov, online hier či iných interaktívnych služieb. Je napísaný v jazyku JavaScript, čo znamená, že vývojári môžu použiť rovnaký jazyk na strane servera aj klienta. Menej často sa však používa na vytváranie natívnych aplikácií na strane klienta pre bežné desktopové platformy.

Pomocou nástroja pkg, ktorý je dostupný cez Node Package Manager, dokážu preložiť (skompilovať) Node.js kód do spustiteľného súboru (.exe) pre Windows. Tento preložený súbor obsahuje všetko potrebné na spustenie aplikácie, vrátane samotného Node.js runtime a potrebných knižníc. Možno sa teraz pýtaš, čo to znamená.

Práve toto hrá v prospech útočníkov do kariet. Dôvodom je, že existuje len veľmi málo antivírusových podpisov pre malvér založený na Node.js. Keďže malvér využívajúci Node.js je zriedkavý, tieto signatúry ešte neboli vytvorené. Znamená to, že akonáhle sa dostane do zariadenia obete, tak tam môže nepozorovane fungovať pomerne dlhú dobu.

Rovnako treba povedať, že preložené spustiteľné súbory Node.js aplikácií sú často veľké (nad 35 MB). Táto veľkosť môže niektorým antivírusom sťažiť analýzu, keďže takéto súbory nezvyknú byť podozrivé. Antivírusy majú často optimalizované algoritmy na kontrolu bežných typov spustiteľných súborov, ako sú malé alebo stredne veľké súbory. Ak sa však stretnú s veľmi veľkým súborom, môže to spôsobiť viacero problémov. Napríklad, väčšie súbory často potrebujú viac zdrojov na analýzu. Preto sa napríklad v snahe minimalizovať dopad na používateľské prostredie antivírusové programy môžu rozhodnúť analyzovať veľké súbory menej dôkladne.

Prihlás sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre