Новий шкідник Nodersok заразив тисячі комп'ютерів на базі Windows

16:47
Новий шкідник Nodersok заразив тисячі комп'ютерів на базі Windows

    Тисячі комп'ютерів на базі Windows по всьому світу за останні кілька тижнів були заражені новим видом шкідливого ПЗ. Шкідник під назвою Nodersok завантажує і встановлює копію інфраструктури Node.js для перетворення заражених систем в проксі-сервери і проведення шахрайських операцій.

     Шкідлива програма, названа Nodersok (в звіті Microsoft) і Divergent (в звіті Cisco Talos), вперше була виявлена влітку нинішнього року і поширювалася за допомогою шкідливої реклами, яка примусово завантажувала файли HTA (HTML Application) на комп'ютери користувачів. Запуск HTA-файлів починав багатоетапний процес зараження з використанням скриптів Excel, JavaScript і PowerShell, які в кінцевому підсумку завантажували і встановлювали шкідливе ПЗ Nodersok.
     Сама шкідлива програма має кілька компонентів, включаючи PowerShell-модуль, який намагається відключити Захисника Windows і служби Windows Update, а також компонент для підвищення привілеїв шкідливого ПЗ до рівня SYSTEM. Але є також два компоненти, які є легітимними додатками, а саме: WinDivert і Node.js. Перший представляє собою додаток для захоплення і взаємодії з мережевими пакетами, а другий — відомий інструмент для запуску JavaScript на web-серверах.
Законне програмне забезпечення використовується для запуску проксі-сервера SOCKS на заражених хостах. Дослідники з компанії Microsoft стверджують, що шкідлива програма перетворює заражені хости в проксі-сервери для передачі шкідливого трафіку. За словами фахівців з Cisco Talos, з іншого боку, проксі використовуються для шахрайських операцій.
   Так чи інакше, творці Nodersok можуть в будь-який момент розгорнути інші модулі для виконання додаткових завдань або навіть запустити здирницьке ПЗ або банківські трояни.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.