Tusenvis av Windows-baserte datamaskiner rundt om i verden i løpet av de siste ukene har blitt smittet med en ny type malware. En ny malware kalt Nodersok (i et Microsoft rapport) Og Avvikende (i en Cisco Talos rapport) ble først oppdaget i sommer.
Than malware laster ned og installerer en kopi av node.js infrastruktur for å konvertere infiserte systemer for å fullmakter og gjennomføre ulovlige operasjoner.“De observerte malware kampanjer knyttet Avvikende har bruk av utholdenhet teknikker oftest assosiert med “fileless” malware, later noen gjenstander for forskere å se på. Dette malware kan utnyttes av en angriper å målrette bedriftsnettverk og ser ut til å være primært konstruert for å gjennomføre klikk-svindel”, - rapport Cisco Talos forskere.
Programmet ble distribuert med skadelig reklame som tvangs ned HTA (HTML Application) filer til brukerne’ datamaskiner. Lanseringen av HTA-filer begynte flere trinn infeksjon prosessen ved hjelp av Excel, Javascript og Powershell script, som til slutt lastet ned og installert Nodersok malware.
Den malware selv har flere komponenter, herunder Powermodulen, som forsøker å deaktivere Windows Defender og Windows Update, så vel som en komponent for å øke skadelig privilegier til systemnivå. derimot, det er også to komponenter som er legitime applikasjoner, nemlig: WinDivert Og node.js. Den første er en applikasjon for å fange og å kommunisere med nettverkspakker, og den andre er en velkjent verktøy for utsetting Javascript på web-servere.
Les også: Brukerne er redd for å snakke om “STOPP” - en av de mest aktive ransomwares i år
Legitime programmer brukes til å kjøre SOCKS proxy-server på infiserte verter. Forskere ved Microsoft sier at malware blir infiserte verter inn fullmakter til å overføre ondsinnet trafikk. Ifølge eksperter fra Cisco Talos, På den andre siden, proxyer brukes til ulovlige transaksjoner.
“Den malware loader beskrevet er under aktiv utvikling. Angripere prøver å tjene penger på disse infeksjonene gjennom bruk av klikksvindel. Trusselen landskapet er i stadig utvikling som angripere teste nye teknikker og metoder for å maksimere sine inntekter generasjon evner. Organisasjoner bør være oppmerksom på disse endringene og sikre at deres sikkerhetsprogrammer er i stand til å forbli effektiv mot disse skiftende taktikk, teknikker, og prosedyrer”, - advarer Cisco Talos forskere.
På en eller annen måte, Nodersok skapere kan distribuere andre moduler til enhver tid til å utføre flere oppgaver, eller til og med starte ransomware eller banktrojanerne.
