Nach Berichten aus dem Netz sind Tausende von Windows-Computern mit einer neuen Art von Malware infiziert, die eine Kopie der Node.js-Infrastruktur herunterlädt und installiert und die betroffenen Systeme in Proxy-Server verwandelt, die für betrügerische Aktivitäten genutzt werden.

Die Malware, die in einem Bericht von Microsoft als Nodersok und in einem Bericht von Cisco Talos als Divergent bezeichnet wird, wurde im Sommer dieses Jahres entdeckt. Sie verbreitete sich durch bösartige Werbung, die zur zwangsweisen Installation von HTML-Anwendungsdateien auf den Computern verwendet wurde. Nutzer, die diese Dateien auf ihren PCs ausführten, initiierten einen mehrstufigen Infektionsprozess unter Verwendung von Excel-Skripten, JavaScript und PowerShell, der schließlich zum Herunterladen und Installieren der Nodersok-Malware führte.
Die Malware besteht aus mehreren Komponenten, die für unterschiedliche Ziele konzipiert sind. Beispielsweise wird das PowerShell-Modul verwendet, um das Windows-Update-Center und den Windows-Schutz zu deaktivieren. Darüber hinaus gibt es ein Modul, das dazu dient, die Berechtigungen der Malware im System zu erhöhen. Allerdings sind auch legitime Anwendungen enthalten: WinDivert und Node.js. Das erste Tool wird verwendet, um Netzwerkpakete abzufangen und damit zu interagieren, während das zweite es ermöglicht, JavaScript auf Webservern auszuführen.
In den Berichten von Microsoft und Cisco wird erwähnt, dass die Malware zwei legitime Anwendungen zur Ausführung von Proxy-Server auf den infizierten Maschinen verwendet. Laut Microsoft verwandelt die Malware die infizierten Knoten in Proxy-Server zum Übertragen von schädlichem Traffic. Im Bericht von Cisco wird erwähnt, dass die Proxy-Server für betrügerische Aktivitäten genutzt werden.
Um Infektionen zu vermeiden, empfehlen Experten, HTML-Anwendungsdateien, die auf dem PC entdeckt werden, nicht zu starten, insbesondere wenn deren Herkunft unbekannt ist. In jedem Fall sind Dateien, die unerwartet von Webseiten heruntergeladen werden, immer ein schlechtes Zeichen und sollten nicht vertraut werden, unabhängig von der Dateierweiterung.
Quelle: 3dnews.ru
