Το Windows malware Nodersok μετατρέπει τους υπολογιστές σε ζόμπι
1 min readΤο malware Nodersok έχει ήδη μολύνει χιλιάδες υπολογιστές Windows
Πρόσφατα μια νέα καμπάνια κακόβουλου λογισμικού το οποίο ευθύνεται για τη μόλυνση χιλιάδων υπολογιστών με Windows παγκοσμίως έχει ανακαλυφθεί από τη Microsoft.
Η ερευνητική ομάδα του Microsoft Defender ATP ανακάλυψε το malware που το ονόμασε Nodersok και όπως εξήγησε σε μια ανάρτηση στο blog της ότι διανέμεται μέσω κακόβουλων διαφημίσεων και αναγκάζει ένα σύστημα Windows να κατεβάσει αρχεία HTZ που χρησιμοποιούνται σε εφαρμογές HTML.
Μόλις ένας χρήστης εντοπίσει και κάνει κλικ στα αρχεία HTZ στο σύστημά του, ξεκινά μια διαδικασία η οποία μέσω scripts σε Powershell, σε Excel και JavaScript κατεβάζει και εγκαθιστά το malware Nodersok στον υπολογιστή του θύματος.
Σύμφωνα με τη Microsoft, το Nodersok είναι fileless (δεν περιέχει αρχεία) και χρησιμοποιεί δυαδικά δυαδικά αρχεία (LOLBins) για να αξιοποιήσει συστημικά εργαλεία και λειτουργίες των Windows.
Στη συνέχεια μεταφορτώνεται σε γνωστά modules των Windows όπως το Windivert.dll / sys και το Node.exe μέσω του Node.JS για να εκτελέσει το έργο του. Ωστόσο, μολυσμένα και εκτελέσιμα αρχεία δεν γράφονται ποτέ στο δίσκο του μολυσμένου υπολογιστή.
Αφού το σύστημα έχει μολυνθεί πλήρως, το Nodersok μπορεί να το μετατρέψει σε “μεσάζοντα” κάτι σαν ζόμπι έτσι ώστε ο μολυσμένος υπολογιστής να χρησιμοποιείται για κυβερνοεπιθέσεις αλλά και ακόμη και για τη δημιουργία διακομιστή που θα μπορεί να δίνει πρόσβαση στους hackers μα εκτελέσουν κακόβουλες εντολές και να ελέγχουν πλήρως το μολυσμένο μηχανημα.
Έτσι οι χάκερ μπορούν να κρύβουν καλά τα ίχνη τους πίσω από τα μολυσμένα συστήματα.
Εκτός από τη Microsoft, ο κλάδος ασφαλείας της Cisco, Talos ανακάλυψε επίσης το κακόβουλο λογισμικό και το ονόμασε Divergent. Οι ερευνητές ασφάλειας της εταιρείας διαπίστωσαν ότι οι μολυσμένες υπολογιστές χρησιμοποιήθηκαν για κακόβουλες ενέργειες σε στοχευμένα εταιρικά δίκτυα.
Στο blog τους, οι ερευνητές της Microsoft εξήγησαν πώς ανακάλυψαν την καμπάνια κακόβουλου λογισμικού Nodersok, λέγοντας:
“Η εκστρατεία είναι ιδιαίτερα ενδιαφέρουσα όχι μόνο επειδή χρησιμοποιεί προηγμένες τεχνικές , αλλά και επειδή βασίζεται σε μια ασύλληπτη υποδομή δικτύου που το καθιστά εξαιρετικά δύσκολο στο να ανιχνευθεί. Ανακαλύψαμε αυτήν την καμπάνια στα μέσα Ιουλίου, όταν προέκυψαν ύποπτα μοτίβα στην ανώμαλη χρήση του MSHTA.exe από την τηλεμετρία ATP του Microsoft Defender. ”
Για όσους ανησυχούν για το ότι τα συστήματά τους έχουν μολυνθεί από τη Nodersok, η Microsoft ενημέρωσε το δωρεάν antivirus to Microsoft Defender για την ανίχνευση του κακόβουλου λογισμικού.