آلوده شدن هزاران کامپیوتر به واسطه بدافزار جدید Nodersok

براساس گزارش‌های منتشر شده، هزاران دستگاه کامپیوتر در سراسر دنیا به وسیله بدافزار جدید Nodersok آلوده شده‌اند که یک کپی از فریم‌ورک Node.js در کامپیوترها دانلود و نصب می‌کند تا سیستم‌‌های آلوده را به پروکسی تبدیل کرده و از آن‌ها برای کلاهبرداری‌های کلیکی بهره‌برداری کند.

شرکت مایکروسافت در گزارشی به‌تازگی از شناسایی بدافزاری جدید چند مرحله‌ای خبر داده است که با استفاده از فریم‌ورک Node.js در دستگاه‌های آلوده و تبدیل آن‌ها به پروکسی سرور، در حال گسترش است. این بدافزار که Nodersok نام‌گذاری شده، به وسیله اجرای فایل‌های مخرب HTML application با پسوند HTA در دستگاه‌های قربانیان و تبلیغات مخرب توزیع می‌شود.

براساس اطلاعات موجود، تکنیک اصلی به‌کار رفته در Nodersok به‌گونه است که از برنامه‌های قانونی و پی‌لود‌های in-memory استفاده می‌کند. این دو روش، شناسایی آلوده شدن کامپیوتر توسط بدافزار Nodersok را برای برنامه‌های آنتی‌ویروس معمولی بسیار دشوارتر می‌کند.

بنا بر گزارش‌های شرکت مایکروسافت، بدافزار Nodersok در مدت زمان نسبتا کوتاه، موفق شده است که در هفته‌های گذشته هزاران دستگاه کامپیوتر را در آمریکا و اروپا به خود آلوده کند.

کاربرانی که فایل‌های مخرب مرتبط با این بدافزار را اجرا می‌کنند، وارد یک فرآیند آلوده‌سازی چندمرحله‌ای با استفاده از اسکریپت‌های اکسل (Excel)، جاوا اسکریپت (JavaScript) و پاورشل (PowerShell) می‌شوند که در نهایت این فرآیند منجر به دانلود و نصب بدافزار Nodersok می‌شود. پس از آلودگی کامل به Nodersok، این بدافزار از طریق اجرای یک پروکسی در دستگاه قربانی، برای کلاهبرداری‌های کلیکی توسط سرورهای کنترل و فرمان مدیریت می‌شود.

از آنجایی که شرکت مایکروسافت این بدافزار را کشف کرده است، برنامه ویندوز دیفندر باید قادر به شناسایی آن در سیستم‌عامل ویندوز باشد، اما بهترین راه‌حل برای جلوگیری از آلوده شدن توسط این بدافزار آن است که کاربران هیچ فایل ناشناخته با پسوند HTA را که در کامپیوترهای خود اجرا نکنند.

 

 

توضیحات بیشتر:

Microsoft: New Nodersok malware has infected thousands of PCs