Нове «безфайлове шкідливе програмне забезпечення», яке важко виявити, поширюється тисячами

Згідно з даними Microsoft і Cisco Talos, нове зловмисне програмне забезпечення, яке важко виявити, знаходиться в активній розробці та наразі поширюється на тисячах комп’ютерів у Європі та США.

Зловмисне програмне забезпечення, назване Nodersok від Microsoft або Divergent від Cisco Talos; працює, перетворюючи ваш комп’ютер на проксі-сервер для сприяння поширенню зловмисного програмного забезпечення, використовуючи фреймворк Node.js і WinDivert, який є пакетом захоплення та перенаправлення пакетів у режимі користувача для Windows: 2008, 7, 10 і 2016.

Cisco Talos описав діяльність зловмисного програмного забезпечення такими термінами:

Це зловмисне програмне забезпечення може бути використане зловмисником для націлювання на корпоративні мережі, і, схоже, воно в основному призначене для шахрайства кліків. Він також має кілька характеристик, які спостерігалися в інших шкідливих програмах для шахрайства кліків, наприклад Kovter.

Windows Defender може виявити та заблокувати Nodersok aka Divergent, але виявити зараження в першому випадку набагато складніше.:

Він використовує передові безфайлові методи, а також тому, що він покладається на невловиму мережеву інфраструктуру, яка змушує атаку залишатися поза радаром.

Корпорація Майкрософт радить користувачам уникати запуску файлів HTA, знайдених у їхніх системах, і стежити за нерозпізнаними файлами; гарантуючи, що ви не запускаєте жодних, походження яких не можете визначити.

джерело: ibtimes