Новый вредонос Nodersok заразил тысячи компьютеров на базе Windows

Новый вредонос Nodersok заразил тысячи компьютеров на базе Windows

Вредоносное ПО устанавливает Node.js, чтобы превратить системы в прокси-серверы и совершать мошеннические операции.

image

Тысячи компьютеров на базе Windows по всему миру за последние несколько недель были заражены новым видом вредоносного ПО. Вредонос под названием Nodersok загружает и устанавливает копию инфраструктуры Node.js для преобразования зараженных систем в прокси-серверы и проведения мошеннических операций.

Вредоносная программа, названная Nodersok (в отчете Microsoft) и Divergent (в отчете Cisco Talos), впервые была обнаружена летом нынешнего года и распространялась с помощью вредоносной рекламы, которая принудительно загружала файлы HTA (HTML Application) на компьютеры пользователей. Запуск HTA-файлов начинал многоэтапный процесс заражения с использованием скриптов Excel, JavaScript и PowerShell, которые в конечном итоге загружали и устанавливали вредоносное ПО Nodersok.

Сама вредоносная программа имеет несколько компонентов, включая PowerShell-модуль, который пытается отключить Защитника Windows и Центр обновления Windows, а также компонент для повышения привилегий вредоносного ПО до уровня SYSTEM. Но есть также два компонента, которые являются легитимными приложениями, а именно: WinDivert и Node.js. Первое представляет собой приложение для захвата и взаимодействия с сетевыми пакетами, а второе — известный инструмент для запуска JavaScript на web-серверах.

Легитимные приложения используются для запуска прокси-сервера SOCKS на зараженных хостах. Исследователи из компании Microsoft утверждают, что вредоносная программа превращает зараженные хосты в прокси-серверы для передачи вредоносного трафика. По словам специалистов из Cisco Talos, с другой стороны, прокси используются для мошеннических операций.

Так или иначе, создатели Nodersok могут в любой момент развернуть другие модули для выполнения дополнительных задач или даже запустить вымогательское ПО или банковские трояны.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle