Si chiama Divergent, l’ultimo malware del cybercrime che utilizza NodeJS per colpire reti aziendali e condurre frodi di varia tipologia in Europa e Stati Uniti.
A scoprirlo sono stati i ricercatori di Cisco Talos. La caratteristica di Divergent, che ha già infettato migliaia di computer con sistema operativo Windows in tutto il mondo è di diffondersi senza allegati/macro ed è simile al codice malevolo Kovter.
Come quest’ultimo fa affidamento sul registro di sistema per la gestione temporanea e l’archiviazione dei dati di configurazione al fine di eludere la scansione degli antivirus. Utilizza inoltre una chiave nel registro per mantenere la persistenza e fa largo uso di PowerShell per installarsi sull’host infetto. Il malware si installa come un’applicazione HTA e crea diverse chiavi di registro contenenti diverse parti del payload e del malware PE.
Gli esperti di Cisco Talos ritengono che gli aggressori utilizzano questo componente proxy per indurre i sistemi infetti a navigare su pagine web arbitrarie a fini di monetizzazione e clic fraudolenti.
Difendersi da questo malware non è semplice. Visto che non lascia tracce nell’hard disk gli antivirus tradizionali non sono in grado di identificarlo.
È quindi opportuno utilizzare sistemi con sistemi multipli di protezione (basati su machine learning) che possano, per esempio, individuare l’impronta lasciata dal file HTA iniziale oppure monitorare costantemente la memoria in modo da identificare immediatamente script che vengono decrittografati ed eseguiti direttamente in memoria.