Nowe, trudne do wykrycia „bezplikowe złośliwe oprogramowanie” rozprzestrzenia się tysiącami
1 minuta. czytać
Zaktualizowano na
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Według Microsoft i Cisco Talos, nowe, trudne do wykrycia złośliwe oprogramowanie jest aktywnie rozwijane i obecnie krąży po tysiącach komputerów w Europie i Stanach Zjednoczonych.
Złośliwe oprogramowanie, nazwane Nodersok przez Microsoft lub Divergent przez Cisco Talos; działa poprzez przekształcenie komputera w serwer proxy w celu ułatwienia rozprzestrzeniania się złośliwego oprogramowania, przy użyciu frameworka Node.js i WinDivert, który jest pakietem do przechwytywania i przekierowywania pakietów w trybie użytkownika dla systemów Windows: 2008, 7, 10 i 2016.
Firma Cisco Talos opisał działania złośliwego oprogramowania w następujący sposób:
To złośliwe oprogramowanie może zostać wykorzystane przez atakującego do atakowania sieci korporacyjnych i wydaje się, że jest przeznaczone głównie do przeprowadzania oszustw związanych z kliknięciami. Posiada również kilka cech, które zaobserwowano w innym złośliwym oprogramowaniu służącym do wyłudzania kliknięć, takim jak Kovter.
Windows Defender może być w stanie zidentyfikować i zablokować Nodersok aka Divergent, ale wykrycie infekcji w pierwszym przypadku jest znacznie trudniejsze.:
Wykorzystuje zaawansowane techniki bezplikowe, ale także dlatego, że opiera się na nieuchwytnej infrastrukturze sieciowej, która sprawia, że atak jest niezauważony.
Microsoft radzi użytkownikom, aby unikali uruchamiania plików HTA znalezionych w ich systemach i zwracali uwagę na nierozpoznane pliki; upewniając się, że nie uruchomisz żadnego, którego nie możesz zidentyfikować.
Źródło: ibtimes