Duizenden Windows-computers over de hele wereld in de afgelopen weken zijn geïnfecteerd met een nieuw type malware. Een nieuwe malware genaamd Nodersok (in een Microsoft-rapport) En afwijkend (in een Cisco Talos rapport) werd voor het eerst deze zomer.
THij malware downloadt en installeert een kopie van de Node.js infrastructuur om geïnfecteerde systemen te converteren naar proxies en uitvoeren van frauduleuze handelingen.“De waargenomen malware campagnes in verband met Uiteenlopende beschikken over het gebruik van persistentie technieken het meest geassocieerd met “fileless” malware, met achterlating van enkele artefacten voor onderzoekers om naar te kijken. Deze malware kan worden benut door een aanvaller tot bedrijfsnetwerken richten en vooral lijkt te worden ontworpen om uit te voeren click-fraude”, - verslag Cisco Talos onderzoekers.
Het programma werd verspreid behulp van schadelijke reclame die gedwongen gedownload HTA (HTML-toepassing) bestanden naar gebruikers’ computers. De lancering van de HTA-bestanden begonnen met de multi-step infectie proces met behulp van Excel, JavaScript en PowerShell-scripts, die uiteindelijk gedownload en geïnstalleerd Nodersok malware.
De malware zelf heeft een aantal componenten, waaronder PowerShell module, die pogingen om Windows Defender en Windows Update uit te schakelen, evenals een component voor het verhogen van malware aan op het systeem niveau. Echter, Er zijn ook twee componenten die legitieme toepassingen, namelijk: WinDivert En Node.js. De eerste is een toepassing voor het vastleggen en interactie met netwerkpakketten, en de tweede is een bekend hulpmiddel voor JavaScript-lancering op webservers.
Lees ook: Gebruikers zijn bang om te praten over de “STOP” - een van de meest actieve ransomwares van dit jaar
Legitieme applicaties worden gebruikt om de SOCKS proxy server op geïnfecteerde hosts draaien. Onderzoekers van Microsoft zeggen dat de malware wordt geïnfecteerde hosts in proxies om kwaadaardig verkeer uitzenden. Volgens deskundigen van Cisco Talos, Anderzijds, proxies worden gebruikt voor frauduleuze transacties.
“De malware loader beschreven wordt momenteel actief in ontwikkeling. Aanvallers proberen om deze infecties te gelde te maken door het gebruik van klikfraude. De dreiging landschap is voortdurend in ontwikkeling als aanvallers testen van nieuwe technieken en methoden om hun inkomsten te genereren mogelijkheden te maximaliseren. Organisaties moeten zich bewust zijn van deze veranderingen en ervoor te zorgen dat hun beveiligingsprogramma's zijn in staat om effectief te blijven tegen deze veranderende tactiek, technieken, en procedures”, - waarschuwen Cisco Talos onderzoekers.
Op een of andere manier, Nodersok's makers kunnen andere modules in te zetten op elk gewenst moment om extra taken uit te voeren, of zelfs te lanceren ransomware of banking Trojans.
