شرکت مایکروسافت در گزارشی بهتازگی از شناسایی بدافزاری جدید چند مرحلهای خبر داده است که با استفاده از فریمورک Node.js در دستگاههای آلوده و تبدیل آنها به پروکسی سرور، در حال گسترش است. این بدافزار که Nodersok نامگذاری شده، به وسیله اجرای فایلهای مخرب HTML application با پسوند HTA در دستگاههای قربانیان و تبلیغات مخرب توزیع میشود.
براساس اطلاعات موجود، تکنیک اصلی بهکار رفته در Nodersok بهگونه است که از برنامههای قانونی و پیلودهای in-memory استفاده میکند. این دو روش، شناسایی آلوده شدن کامپیوتر توسط بدافزار Nodersok را برای برنامههای آنتیویروس معمولی بسیار دشوارتر میکند.
بنا بر گزارشهای شرکت مایکروسافت، بدافزار Nodersok در مدت زمان نسبتا کوتاه، موفق شده است که در هفتههای گذشته هزاران دستگاه کامپیوتر را در آمریکا و اروپا به خود آلوده کند.
کاربرانی که فایلهای مخرب مرتبط با این بدافزار را اجرا میکنند، وارد یک فرآیند آلودهسازی چندمرحلهای با استفاده از اسکریپتهای اکسل (Excel)، جاوا اسکریپت (JavaScript) و پاورشل (PowerShell) میشوند که در نهایت این فرآیند منجر به دانلود و نصب بدافزار Nodersok میشود. پس از آلودگی کامل به Nodersok، این بدافزار از طریق اجرای یک پروکسی در دستگاه قربانی، برای کلاهبرداریهای کلیکی توسط سرورهای کنترل و فرمان مدیریت میشود.
از آنجایی که شرکت مایکروسافت این بدافزار را کشف کرده است، برنامه ویندوز دیفندر باید قادر به شناسایی آن در سیستمعامل ویندوز باشد، اما بهترین راهحل برای جلوگیری از آلوده شدن توسط این بدافزار آن است که کاربران هیچ فایل ناشناخته با پسوند HTA را که در کامپیوترهای خود اجرا نکنند.
توضیحات بیشتر:
- Microsoft: New Nodersok malware has infected thousands of PCs