nuevo malware de Nodersok (aka divergente) miles de infectados equipos basados ​​en Windows

Miles de equipos basados ​​en Windows de todo el mundo durante las últimas semanas se han infectado con un nuevo tipo de malware. Un nuevo malware llamado Nodersok (en un informe de Microsoft) y Divergente (en un informe de Cisco Talos) fue detectado por primera vez este verano.

Tque el malware descarga e instala una copia de la infraestructura Node.js para convertir los sistemas infectados a los poderes y llevar a cabo operaciones fraudulentas.

“Las campañas de malware observados asociados con Divergente cuentan con el uso de técnicas de persistencia más comúnmente asociados con “sin archivo” Malware, dejando tras de sí unos artefactos para los investigadores a mirar. Este malware puede ser aprovechado por un atacante para dirigirse a las redes corporativas y parece estar diseñado principalmente para llevar a cabo el fraude de clics”, - Informe de los investigadores de Cisco Talos.

El programa se distribuye mediante la publicidad maliciosa que forzadamente descargado HTA (aplicación HTML) los archivos a los usuarios’ ordenadores. El lanzamiento de los archivos HTA se inició el proceso de infección de múltiples pasos usando Excel, scripts de JavaScript y PowerShell, que en última instancia la descarga e instalación de software malicioso Nodersok.

El malware en sí tiene varios componentes, incluyendo el módulo de PowerShell, que intenta desactivar Windows Defender y Windows Update, así como un componente para elevar privilegios de malware a nivel de sistema. sin embargo, también hay dos componentes que son aplicaciones legítimas, a saber: WinDivert y Node.js. La primera es una aplicación para la captura y la interacción con los paquetes de red, y la segunda es una herramienta muy conocida para el lanzamiento de JavaScript en los servidores web.

leer también: Los usuarios tienen miedo a hablar de la “STOP” - uno de los más activos ransomwares de este año

aplicaciones legítimas se utilizan para ejecutar el servidor SOCKS proxy en huéspedes infectados. Los investigadores de Microsoft dicen que el malware se convierte en huéspedes infectados proxies para transmitir tráfico malicioso. De acuerdo con expertos de Cisco Talos, Por otra parte, proxies se utilizan para las transacciones fraudulentas.

“El cargador malicioso descrito se encuentra actualmente en desarrollo activo. Los atacantes están tratando de obtener beneficios económicos de estas infecciones mediante el uso de fraude de clics. El panorama de las amenazas está en constante evolución como atacantes prueban nuevas técnicas y metodologías para maximizar sus capacidades de generación de ingresos. Las organizaciones deben ser conscientes de estos cambios y asegurar que sus programas de seguridad son capaces de mantener su eficacia contra estas tácticas cambiantes, técnicas, y procedimientos”, - advertir a los investigadores de Cisco Talos.

De una manera u otra, Los creadores de Nodersok pueden implementar otros módulos en cualquier momento para realizar tareas adicionales, o incluso lanzar ransomware o bancarios troyanos.

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

Eliminar Worm.NSIS.BitMi (instrucciones de eliminación)

Worm.NSIS.BitMi es un tipo de programa de software que se utiliza para extraer dinero electrónico. Computadora …

Cómo eliminar el virus Ramsay?

Ramsay es una detección genérica utilizada por Microsoft Security Essentials, Windows Defender y otros anti-virus …

Deja una respuesta