Tausende von Windows-basierten Computern auf der ganzen Welt in den letzten Wochen haben sich mit einer neuen Art von Malware infizierten. Eine neue Malware genannt Nodersok (in einem Microsoft-Bericht) und Abweichend (in einem Cisco Talos Bericht) Zuerst wurde in diesem Sommer detektiert.
Ter Malware herunter und installiert eine Kopie der Node.js Infrastruktur infizierte Systeme zu Proxies konvertieren und betrügerische Operationen durchführen.„Die beobachteten Malware-Kampagnen im Zusammenhang mit divergentem verfügen über die Verwendung von Persistenz-Techniken am häufigsten im Zusammenhang mit “Dateilos” Malware, Zurücklassung wenige Artefakte für Forscher zu sehen. Diese Malware kann von einem Angreifer genutzt werden, Unternehmensnetzwerke zu zielen und erscheint in erster Linie entworfen werden zur Durchführung Klickbetrug“, - Bericht Cisco Talos Forscher.
Das Programm wurde mit bösartiger Werbung verteilt, die gezwungenermaßen HTA heruntergeladen (HTML-Anwendung) Dateien an Benutzer’ Computers. Der Start der HTA-Dateien begann den mehrstufigen Infektionsprozess mit Hilfe von Excel, JavaScript und Powershell-Skripts, die letztlich heruntergeladen und Nodersok Malware installiert.
Die Malware selbst hat mehrere Komponenten, einschließlich des Powermodul, die versuchen, Windows Defender und Windows Update zu deaktivieren, sowie eine Komponente für die Malware-Privilegien auf Systemebene erhöhen. jedoch, gibt es auch zwei Komponenten, die legitimen Anwendungen sind, nämlich: WinDivert und node.js. Die erste ist eine Anwendung zum Erfassen und Interaktion mit Netzpaketen, und das zweite ist ein bekanntes Werkzeug zum Starten von JavaScript auf Webservern.
lesen Sie auch: Benutzer haben Angst, über die „STOP“ zu sprechen - eine der aktivsten ransomwares dieses Jahres
Legitime Anwendungen werden verwendet, um die SOCKS-Proxy-Server auf infizierten Hosts laufen. Forscher bei Microsoft sagen, dass die Malware-infizierten Hosts in Proxies verwandelt schädlichen Datenverkehr zu übertragen. Nach Ansicht der Experten von Cisco Talos, Auf der anderen Seite, Proxies werden für betrügerische Transaktionen verwendet.
„Die beschriebene Malware-Loader wird derzeit im Rahmen einer aktiven Entwicklung. Angreifer versuchen, diese Infektionen durch die Verwendung von Klickbetrug monetarisieren. Die Bedrohungslandschaft entwickelt sich ständig als Angreifer testen neue Techniken und Methoden zu ihrer Einnahmen Generation Fähigkeiten zu maximieren. Organisationen sollten sich bewusst dieser Veränderungen sein und sicherstellen, dass ihre Sicherheitsprogramme der Lage sind, gegen diese veränderten Taktik wirksam zu bleiben, Techniken, und Verfahren“, - warnen Forscher Cisco Talos.
In gewisser Weise, Nodersok Erschaffer können andere Module bereitstellen jederzeit zusätzliche Aufgaben ausführen, oder sogar Ransomware oder Banking-Trojaner starten.
