지난 몇 주 동안 전 세계의 Windows 기반 컴퓨터의 수천 악성 코드의 새로운 유형에 감염된. 라는 새로운 악성 코드 Nodersok (마이크로 소프트 보고서) 과 다른 (시스코 탈로스 보고서) 먼저이 여름 감지되었습니다.
티그는 다운로드 악성 코드 및 프록시에 감염된 시스템을 변환하고 사기 작업을 수행하기 위해 Node.js를 인프라의 사본을 설치합니다."갈라진과 관련된 관찰 된 악성 코드 캠페인은 가장 일반적과 관련된 지속성 기술의 사용을 특징으로 “fileless” 악성 코드, 보는 연구자에 대한 몇 가지 유물을 남기고. 이 악성 코드는 기업 네트워크를 대상으로 공격자에 의해 활용 주로 수행하기위한 것으로 보인다 될 수있다 "-클릭 사기, - 보고서 시스코 탈로스 연구원.
이 프로그램은 강제로 HTA를 다운로드 악성 광고를 사용하여 배포 한 (HTML 응용 프로그램) 사용자가 파일’ 컴퓨터. HTA 파일의 출시는 Excel을 사용하여 여러 단계의 감염 과정을 시작, 자바 스크립트와 PowerShell을 스크립트, 궁극적으로 다운로드 Nodersok 악성 코드를 설치 한.
악성 코드 자체는 여러 가지 구성 요소가 있습니다, 파워 쉘 모듈을 포함, 이는 Windows Defender를하고 Windows Update를 해제하려고 시도, 뿐만 아니라 시스템 레벨에 악성 코드 권한을 올리기위한 구성 요소로. 하나, 합법적 인 응용 프로그램입니다 두 가지 구성 요소도 있습니다, 즉: WinDivert 과 Node.js를. 제 캡처 및 네트워크 패킷들과 상호 작용하기위한 어플리케이션이며, 두 번째는 웹 서버에서 자바 스크립트를 실행하기 위해 잘 알려진 도구입니다.
또한 읽기: 올해의 가장 활동적인 ransomwares 중 하나 - 사용자는 "STOP"에 대해 이야기하는 것을 두려워하다
합법적 인 응용 프로그램은 SOCKS에게 감염된 호스트의 프록시 서버를 실행하는 데 사용되는. 마이크로 소프트의 연구원들은 악성 코드는 악성 트래픽을 전송하는 프록시에 감염된 호스트를 켜지 말. 시스코 탈로스의 전문가에 따르면,, 다른 한편으로는, 프록시는 사기 거래에 사용됩니다.
"설명 된 악성 코드 로더는 활성 현재 개발 중입니다. 공격자는 부정 클릭의 사용을 통해 이러한 감염 수익을 창출하려고. 공격자가 자신의 수익 창출 능력을 극대화하기 위해 새로운 기술과 방법을 테스트하는 위협 환경은 끊임없이 진화한다. 조직은 이러한 변화를 인식하고 자신의 보안 프로그램이 변화하는 전술에 대해 계속 유효 할 수 있는지 확인해야합니다, 기법, 및 절차 ", - 시스코 탈로스 연구자 경고.
한 가지 방법 또는 다른, Nodersok의 제작자는 추가 작업을 수행 할 수있는 시간에 다른 모듈을 배포 할 수 있습니다, 심지어 랜섬웨어 나 인터넷 뱅킹 트로이 목마를 실행.
