Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Вредоносная программа Nodersok заразила тысячи компьютеров на базе Windows
По сообщениям сетевых источников, тысячи работающих под управлением Windows компьютеров оказались заражены новым видом вредоносного ПО, которое осуществляет загрузку и установку копии инфраструктуры Node.js, преобразуя заражённые системы в прокси-серверы, используемые для проведения мошеннических операций.
Вредоносные программы, названные Nodersok в отчёте Microsoft и Divergent в отчёте Cisco Talos, были обнаружены летом этого года. Они распространялись с помощью вредоносной рекламы, которая использовалась для принудительной загрузки файлов HTML Application на компьютеры. Пользователи, запустившие эти файлы на своих ПК, давали старт многоэтапному процессу заражения с применением сценариев Excel, JavaScript и PowerShell, что в конечном итоге приводило к загрузке и установке вредоносного ПО Nodersok.
Сама вредоносная программа имеет в составе несколько компонентов, предназначенных для выполнения разных целей. К примеру, модуль PowerShell используется для отключения Центра обновлений и стандартной защиты Windows. Кроме того, есть модуль, используемый для повышения привилегий вредоноса в системе. Однако в составе имеются и законные приложения: WinDivert и Node.js. Первый инструмент используется для захвата и взаимодействия с сетевыми пакетами, а второй позволяет запускать JavaScript на веб-серверах.
В отчётах Microsoft и Cisco говорится о том, что вредоносное ПО использует два легитимных приложения для запуска прокси-сервера на заражённых машинах. По данным Microsoft, вредоносное ПО превращает заражённые узлы в прокси-серверы для передачи вредоносного трафика. В отчёте Cisco говорится, что прокси-серверы используются для совершения мошеннических действий.
Чтобы предотвратить заражение, специалисты рекомендуют не запускать файлы HTML Application, обнаруженные на ПК, особенно, если их происхождение неизвестно. В любом случае, файлы, которые неожиданно загружаются с веб-страниц, всегда являются плохим признаком, и им нельзя доверять, независимо от расширения.
Источник:
