Secondo fonti di rete, migliaia di computer Windows in funzione sono stati infettati da un nuovo tipo di malware, che carica e installa una copia dell'infrastruttura Node.js, trasformando i sistemi infetti in proxy utilizzati per operazioni fraudolente.

I malware, denominati Nodersok nel rapporto di Microsoft e Divergent nel rapporto di Cisco Talos, sono stati rilevati nell'estate di quest'anno. Si sono diffusi attraverso pubblicità dannose, utilizzate per forzare il download di file HTML Application sui computer. Gli utenti che hanno eseguito questi file sui propri PC avviavano un processo di infezione in più fasi che utilizzava script Excel, JavaScript e PowerShell, il quale portava infine al download e all'installazione del malware Nodersok.
Il malware stesso comprende diversi componenti progettati per svolgere funzioni diverse. Ad esempio, il modulo PowerShell viene utilizzato per disabilitare il Centro aggiornamenti e la protezione standard di Windows. Inoltre, c'è un modulo progettato per elevare i privilegi del malware nel sistema. Tuttavia, ci sono anche applicazioni legittime: WinDivert e Node.js. Il primo strumento è utilizzato per catturare e interagire con i pacchetti di rete, mentre il secondo consente di eseguire JavaScript sui server web.
Nei rapporti di Microsoft e Cisco si afferma che il malware utilizza due applicazioni legittime per lanciare un proxy-server sui computer infetti. Secondo Microsoft, il malware trasforma i nodi infetti in proxy-server per la trasmissione di traffico malevolo. Nel rapporto Cisco si afferma che i server proxy vengono utilizzati per svolgere attività fraudolente.
Per prevenire l'infezione, gli esperti consigliamo di non eseguire i file HTML Application reperiti sul PC, soprattutto se la loro origine è sconosciuta. In ogni caso, i file che si scaricano inaspettatamente da pagine web sono sempre un cattivo segno e non possono essere considerati affidabili, indipendentemente dall'estensione.
Fonte: 3dnews.ru
