یک بدافزار جدید که هزاران پیسی ویندوزی را در سرتاسر دنیا آلوده کرده است توسط مایکروسافت کشف شد.
این بدافزار که Nodersok نام دارد توسط تیم تحقیقاتی Microsoft Defender ATP پیدا شده است. این تیم، در یک پست وبلاگی گفته است که بدافزار مذکور، از طریق تبلیغات مخرب منتشر میشود و سیستم ویندوزی را وادار میکند تا فایلهای HTZ را که در اپلیکیشنهای HTML مورد استفاده قرار میگیرند، دانلود نماید.
به محض اینکه کاربر بر روی فایلهای HTZ کلیک میکند، برنامههای اکسل، جاوا اسکریپت و اسکریپتهای Powershell، برای دانلود و نصب بدافزار Nodersok باز میشوند.
به گفته مایکروسافت، بدافزار Nodersok، بدون فایل بوده و از باینریهای living-off-the-land برای نفوذ به سیستم ویندوزی استفاده میکند. Nodersok سپس از طریق دانلود ماژولهای قانونی مانند Windivert.dll/sys و Node.exe از فریمورک Node.JS، ماموریت خودش را به انجام میرساند.
بعد از آنکه سیستم موردنظر، بهطور کامل آلوده شد، Nodersok میتواند آن را تبدیل به یک ماشین پروکسی زامبیمانند بکند که برای راهاندازی سایر حملات سایبری و حتی ایجاد یک سرور کمکی که به هکرها امکان دسترسی به سرورهای دستور و کنترل را میدهد، استفاده گردد. این کار، به هکرها اجازه خواهد داد تا فعالیت خود را از دید محققین امنیتی که به دنبال رفتارهای مشکوک هستند، پنهان نگه دارند.
محققین مایکروسافت در پست وبلاگی خود، چگونگی کشف بدافزار Nodersok را اینگونه توضیح دادهاند:
این بدافزار، مورد جالبی است؛ چرا که نه تنها از تکنیکهای پیشرفته بدون فایل استفاده میکند، بلکه بر یک زیرساختار شبکهای فرار متکی است که ردیابی حملات انجام شده را سخت میکند. ما این بدافزار را در اواسط ماه جولای، زمانی که الگوهای مشکوکی در استفاده از فایل MSHTA.exe ظاهر شدند، کشف کردیم.
مایکروسافت برای کسانی که نگران آلودگی سیستمهای خود توسط Nodersok هستند، آنتیویروس رایگان خود یعنی Microsoft Defender را بهروزرسانی کرده است.
منبع : ایتیرسان
