novo malware da Nodersok (aka divergente) milhares infectados de computadores baseados em Windows

Milhares de computadores baseados em Windows em todo o mundo ao longo dos últimas semanas têm sido infectado com um novo tipo de malware. Um novo malware chamado Nodersok (em um relatório Microsoft) e Divergente (em um relatório Cisco Talos) foi detectada pela primeira vez neste verão.

Tele malwares baixa e instala uma cópia da infra-estrutura Node.js para converter sistemas infectados para proxies e realizar operações fraudulentas.

“As campanhas de malware observados associados com Divergent apresentam o uso de técnicas de persistência mais comumente associados “fileless” Malware, deixando para trás alguns artefatos para os investigadores a olhar. Este malware pode ser aproveitado por um atacante para alvejar as redes corporativas e parece ser projetado principalmente para conduzir clique-fraude”, - relatório pesquisadores Cisco Talos.

O programa foi distribuído usando a publicidade malicioso que forcedly baixado HTA (Aplicação HTML) arquivos para os usuários’ computadores. O lançamento dos arquivos HTA começou o processo de infecção multi-passo usando o Excel, scripts JavaScript e PowerShell, que em última análise baixado e instalado Nodersok malwares.

O malware em si tem vários componentes, incluindo o módulo PowerShell, que tenta desabilitar o Windows Defender e Windows Update, bem como um componente para elevar privilégios de malware ao nível do sistema. Contudo, há também dois componentes que são aplicações legítimas, nomeadamente: WinDivert e Node.js. O primeiro é uma aplicação para a captura e interagindo com os pacotes de rede, ea segunda é uma ferramenta bem conhecida para o lançamento de JavaScript em servidores web.

Leia também: Os usuários têm medo de falar sobre o “STOP” - um dos ransomwares mais ativos deste ano

aplicativos legítimos são usados ​​para executar os SOCKS servidor proxy em hospedeiros infectados. Pesquisadores da Microsoft dizem que o malware transforma hospedeiros infectados em proxies para transmitir o tráfego malicioso. De acordo com especialistas da Cisco Talos, Por outro lado, proxies são usados ​​para transações fraudulentas.

“O carregador de malware descrito está em desenvolvimento ativo. Os atacantes estão tentando rentabilizar estas infecções através do uso de fraude do clique. O cenário de ameaças em constante evolução como atacantes testar novas técnicas e metodologias para maximizar suas capacidades de geração de receitas. As organizações devem estar cientes dessas mudanças e garantir que seus programas de segurança são capazes de permanecer eficaz contra essas táticas em mudança, técnicas, e procedimentos”, - alertam pesquisadores Cisco Talos.

De uma forma ou de outra, Os criadores do Nodersok pode implementar outros módulos a qualquer momento para executar tarefas adicionais, ou mesmo lançar ransomware ou bancário Trojans.

Polina Lisovskaya

Trabalho como gerente de marketing há anos e adoro pesquisar tópicos interessantes para você

Deixe uma resposta

Botão Voltar ao Topo