Шкідник під назвою Nodersok завантажує і встановлює копію інфраструктури Node.js для перетворення заражених систем в проксі-сервери і проведення шахрайських операцій.
Шкідлива програма, названа Nodersok (в звіті Microsoft) і Divergent (в звіті Cisco Talos), вперше була виявлена влітку нинішнього року і поширювалася за допомогою шкідливої реклами, яка примусово завантажувала файли HTA (HTML Application) на комп’ютери користувачів. Запуск HTA-файлів починав багатоетапний процес зараження з використанням скриптів Excel, JavaScript і PowerShell, які в кінцевому підсумку завантажували і встановлювали шкідливе ПЗ Nodersok.
Сама шкідлива програма має кілька компонентів, включаючи PowerShell-модуль, який намагається вимкнути захисника Windows і служби Windows Update, а також компонент для підвищення привілеїв шкідливого ПЗ до рівня SYSTEM. Але є також два компоненти, які є легітимними додатками, а саме: WinDivert і Node.js. Перше представляє собою додаток для захоплення і взаємодії з мережевими пакетами, а друге – відомий інструмент для запуску JavaScript на web-серверах.
Законне програмне забезпечення використовуються для запуску проксі-сервера SOCKS на заражених хостах. Дослідники з компанії Microsoft стверджують, що шкідлива програма перетворює заражені хости в проксі-сервери для передачі шкідливого трафіку. За словами фахівців з Cisco Talos, з іншого боку, проксі використовуються для шахрайських операцій.
Так чи інакше, творці Nodersok можуть в будь-який момент розгорнути інші модулі для виконання додаткових завдань або навіть запустити здирницькі ПЗ або банківські трояни.
Нагадаємо, нову активність сімейства шкідливих програм Zebrocy групи кіберзлочинців Sedni виявили фахівці компанії ESET. Цього разу кампанія зловмисників спрямована на посольства та міністерства закордонних справ у країнах Східної Європи та Центральної Азії.
Автор публікації
