Milhares de computadores baseados em Windows em todo o mundo ao longo dos últimas semanas têm sido infectado com um novo tipo de malware. Um novo malware chamado Nodersok (em um relatório Microsoft) e Divergente (em um relatório Cisco Talos) foi detectada pela primeira vez neste verão.
Tele malwares baixa e instala uma cópia da infra-estrutura Node.js para converter sistemas infectados para proxies e realizar operações fraudulentas.“As campanhas de malware observados associados com Divergent apresentam o uso de técnicas de persistência mais comumente associados “fileless” Malware, deixando para trás alguns artefatos para os investigadores a olhar. Este malware pode ser aproveitado por um atacante para alvejar as redes corporativas e parece ser projetado principalmente para conduzir clique-fraude”, - relatório pesquisadores Cisco Talos.
O programa foi distribuído usando a publicidade malicioso que forcedly baixado HTA (Aplicação HTML) arquivos para os usuários’ computadores. O lançamento dos arquivos HTA começou o processo de infecção multi-passo usando o Excel, scripts JavaScript e PowerShell, que em última análise baixado e instalado Nodersok malwares.
O malware em si tem vários componentes, incluindo o módulo PowerShell, que tenta desabilitar o Windows Defender e Windows Update, bem como um componente para elevar privilégios de malware ao nível do sistema. Contudo, há também dois componentes que são aplicações legítimas, nomeadamente: WinDivert e Node.js. O primeiro é uma aplicação para a captura e interagindo com os pacotes de rede, ea segunda é uma ferramenta bem conhecida para o lançamento de JavaScript em servidores web.
Leia também: Os usuários têm medo de falar sobre o “STOP” - um dos ransomwares mais ativos deste ano
aplicativos legítimos são usados para executar os SOCKS servidor proxy em hospedeiros infectados. Pesquisadores da Microsoft dizem que o malware transforma hospedeiros infectados em proxies para transmitir o tráfego malicioso. De acordo com especialistas da Cisco Talos, Por outro lado, proxies são usados para transações fraudulentas.
“O carregador de malware descrito está em desenvolvimento ativo. Os atacantes estão tentando rentabilizar estas infecções através do uso de fraude do clique. O cenário de ameaças em constante evolução como atacantes testar novas técnicas e metodologias para maximizar suas capacidades de geração de receitas. As organizações devem estar cientes dessas mudanças e garantir que seus programas de segurança são capazes de permanecer eficaz contra essas táticas em mudança, técnicas, e procedimentos”, - alertam pesquisadores Cisco Talos.
De uma forma ou de outra, Os criadores do Nodersok pode implementar outros módulos a qualquer momento para executar tarefas adicionais, ou mesmo lançar ransomware ou bancário Trojans.