O novo malware Nodersok instala o Node.js para transformar sistemas em proxies e realizar fraudes por clique.

Por: Catalin Cimpanu 

Milhares de computadores Windows em todo o mundo foram infectados com uma nova variedade de malware que baixa e instala uma cópia da estrutura do Node.js. para converter sistemas infectados em proxies e executar fraudes por clique.

O malware, chamado Nodersok (em um relatório da Microsoft ) e Divergent (em um relatório da Cisco Talos ), foi detectado pela primeira vez no verão, distribuído por anúncios maliciosos que baixavam à força arquivos HTA (aplicativo HTML) nos computadores dos usuários.

Os usuários que encontraram e executaram esses arquivos HTA iniciaram um processo de infecção em vários estágios, envolvendo scripts Excel, JavaScript e PowerShell que eventualmente baixaram e instalaram o malware Nodersok.

O malware em si possui vários componentes, cada um com sua própria função. Há um módulo do PowerShell que tenta desativar o Windows Defender e o Windows Update, e há um componente para elevar as permissões do malware ao nível do SISTEMA.

Mas também existem dois componentes que são aplicativos legítimos – ou seja WinDivert e Node.js . O primeiro é um aplicativo para capturar e interagir com pacotes de rede, enquanto o segundo é uma ferramenta de desenvolvedor bem conhecida para executar JavaScript em servidores da web.

De acordo com os relatórios da Microsoft e da Cisco, o malware usa os dois aplicativos legítimos para iniciar um proxy SOCKS nos hosts infectados. Mas aqui é onde os relatórios divergem. A Microsoft alega que o malware transforma hosts infectados em proxies para retransmitir tráfego malicioso. A Cisco, por outro lado, diz que esses proxies são usados ​​para realizar fraudes por clique.

No entanto, malware é malware e não é um bom sinal quando alguém é infectado, apesar da saída. Assim como qualquer outra variedade de malware criada em uma arquitetura cliente-servidor, os criadores da Nodersok podem, a qualquer momento, implantar outros módulos para executar tarefas adicionais ou até implantar cargas secundárias de malware, como ransomware ou trojans bancários.

Desde que a Microsoft encontrou o malware, o Windows Defender também deve ser capaz de identificá-lo.

Para evitar infecções, o melhor conselho é que os usuários não executem nenhum arquivo HTA que encontrarem em seus computadores, principalmente se não souberem a origem exata dos arquivos. Arquivos baixados de uma página da Web do nada são sempre um mau sinal e não devem ser confiáveis, independentemente da extensão.

De acordo com a telemetria da Microsoft, Nodersok já conseguiu infectar “milhares de máquinas nas últimas semanas”. A maioria das infecções ocorreu neste mês e atingiu usuários dos EUA e da UE, informou a empresa.

nodersok-distribution.png
Imagem: Microsoft

A parte complicada do Nodersok é, no entanto, o uso de aplicativos legítimos e cargas úteis na memória (execução sem arquivo). Essas duas técnicas tornam a detecção de infecções por Nodersok muito mais difícil para programas antivírus clássicos baseados em assinaturas.

No entanto, a Microsoft diz que o comportamento pós-infecção de Nodersok “é uma pegada visível que se destaca claramente para quem sabe onde procurar”, o que deve fornecer às empresas de segurança pelo menos um método para detectar o malware posteriormente.

Com base na análise da Cisco Talos, o malware parece ainda estar em desenvolvimento, mas os agentes de ameaças por trás dele parecem ter um plano para monetizar suas infecções por meio de fraude de cliques, o que significa que o malware provavelmente está aqui.

nodersok-attack-chain.png

Fonte: ZDNET