Исследователи из Microsoft и Cisco Talos обнаружили новую разновидность вредоносного ПО Nodersok (или Divergent), которая использует веб-приложения для превращения систем в прокси-серверы для вредоносного интернет-трафика.
В результате атаки через мошенническое рекламное объявление или загрузку жертвы запускают файл HTA (HTML-приложение), что вызывает сложную последовательность событий. JavaScript в HTA загружает отдельный файл JavaScript, который, в свою очередь, запускает команду PowerShell, которая загружает и запускает целый ряд инструментов, включая те, которые отключают Защитника Windows, запрашивают дополнительный контроль, перехватывают пакеты данных и создают прокси-сервер.
Важно отметить, что заражение системы осуществляется через легитимные программы, независимо от того, встроены они в Windows или загружены от сторонних разработчиков. На хранилище устройства не копируются какие-либо вредоносные программы. Такой подход усложняет работу команд по обеспечению безопасности, им крайне проблематично изучать код и разрабатывать контрмеры.
Пока нет сведений о том, кто стоит за созданием и распространением вредоносного ПО Nodersok. Однако, похоже, что оно предназначено для использования обычными преступниками, а не спецслужбами каких-либо враждебных стран. Cisco считает, что ПО Nodersok «в первую очередь» предназначено для мошеннических кликов или автоматического генерирования переходов по рекламным объявлениям для увеличения доходов от веб-сайтов. Большинство жертв атаки — типичные потребители в Европе и США, а не корпоративные или государственные пользователи. Целями стали «тысячи систем».
Источник: ITC.ua
Самые актуальные новости - в 
