Nuestros sistemas y dispositivos están expuestos constantemente a sufrir muchos tipos de amenazas. Siempre que navegamos por la red podemos ser víctimas de malware. Puede ser algún archivo malicioso que descargamos, por ejemplo. Sin embargo en ocasiones no necesitamos tener un archivo que ha sido configurado para atacar. Es lo que se conoce como fileless o malware sin fichero. Hoy nos hacemos eco de Nodersok, una amenaza que afecta a Windows y que puede convertir nuestro sistema en proxies zombis.
Una nueva amenaza convierte un equipo Windows en proxies zombis
Ha sido el propio Microsoft quien ha lanzado la advertencia sobre este problema. Se trata de una campaña que ataca equipos con Windows y utiliza herramientas legítimas que están dentro del sistema operativo. Algo que, como podemos imaginar, hace más difícil su detección. La víctima no necesita descargar ningún malware, sino que el problema ya está en el equipo. Se basa en binarios que están dentro de software legítimo.
De momento podemos decir que este problema ha afectado a miles de usuarios tanto en Europa como en otros países del mundo. El objetivo de los atacantes al iniciar esta campaña es poder entrar en la red de la víctima. Ataca a diferentes sectores, aunque hay que mencionar que principalmente afecta a empresas y sectores públicos.
Esta amenaza se distribuye principalmente a través de dos herramientas legítimas: Node.exe y WinDivert. No se trata de herramientas maliciosas ni vulnerables, pero sí tienen lo necesario para poder lograr su objetivo, que no es otro que el de convertir esos equipos con Windows en proxies zombis.
Los piratas informáticos despliegan esta amenaza en dos etapas. En una primera introducen el archivo a través de adware y sitios webs comprometidos. Dentro de ese archivo se encuentra el código JavaScript que inicia la segunda etapa. Se basan en un servicio de entrega que no es detectado como una amenaza. Utilizan básicamente la misma estrategia que con Astaroth.
Cuando el malware se ha lanzado en esa segunda etapa descarga un nuevo comando PowerShell. Este nuevo comando lo que hace es ejecutar componentes cifrados adicionales que deshabilitarán el antivirus de Windows y también las actualizaciones. Otro código binario dará permisos de administrador para poder descargar la herramienta legítima Node.exe.
Este último JavaScript, como indican desde Microsoft, es la carga útil definitiva que logra convertir el equipo en proxies zombis. A partir de ese momento tendrían un control sobre la red de la víctima.
Cómo protegernos del malware sin fichero
Hemos visto que estamos ante un tipo de amenazas que se aleja de lo habitual. No estamos descargando archivos maliciosos, como suele ocurrir. En esta ocasión la amenaza utiliza herramientas legítimas que ya se encuentran en Windows.
Nuestro principal consejo para protegernos de este tipo de problemas es mantener siempre los equipos actualizados. A veces pueden surgir vulnerabilidades que son aprovechadas por los piratas informáticos. Buscan errores de seguridad en los sistemas para intentar atacar. Son los propios fabricantes quienes lanzan parches y actualizaciones de seguridad. De esta forma podremos corregir esos errores y asegurar nuestros sistemas.
También es importante contar con software de seguridad y por supuesto que esté actualizado. Es cierto que es posible que nuestro antivirus no detecte la amenaza en caso de que lo desactive, como ha ocurrido con esta campaña. Sin embargo un buen antivirus actualizado puede prevenir muchos tipos de amenazas similares.
Por otra parte, y quizás lo más importante, el sentido común. Siempre hay que estar alerta a la hora de navegar por Internet, evitar hacerlo por páginas que no inspiren confianza, descargar archivos que puedan ser peligrosos o acceder a enlaces que nos lleguen por correo sin conocer realmente la fuente. Muchos de estos ataques pueden ser evitados si estamos alerta, como esta nueva campaña.