Odborníci na bezpečnost ze společností Microsoft a Cisco Talo odhalili nový kmen malwaru Nodersok (označovaný též jako Divergent), který pomocí webové aplikace mění napadené počítače na proxy servery pro škodlivý internetový provoz, respektive falešné klikání na reklamy.
Samotný útok probíhá přes aplikace HTA (HTML Application), což je technologie vyvinutá Microsoftem pro internetový prohlížeč Explorer 5. Webové stránky se díky ní mohou chovat a vypadat jako běžné aplikace, přičemž mají přístup k některým systémovým funkcím.
Nový útok přes starou technologii
Prvním úkolem útočníků je přesvědčit uživatele ke stažení a následnému spuštění aplikace v podobě souboru s příponou .hta. Pokud se záměr podaří, dojde ke spuštění kódu, napsaného v JavaScriptu, který následně stáhne další soubor. Jeho cílem je pomocí příkazu PowerShellu stáhnout a spustit sadu dalších nástrojů, které se, mimo jiné, postarají o deaktivaci Windows Defenderu a Windows Update.
Součástí malwaru je také komponenta pro zvýšení oprávnění na systémovou úroveň. Další komponenty – WinDivert a Node.js - obstarávají zachycení a interakci se síťovými pakety, druhá zmíněná je známým vývojářským nástrojem pro spouštění JavaScriptu na webových serverech.
Infekce při plnění svých úkolu spoléhá na legitimní programy, ať už ty, které jsou součástí operačního systému Windows, nebo na aplikace třetích stran. Do úložiště tedy nejsou kopírovány žádné škodlivé programy, což bezpečnostním expertům značně ztěžuje možnost zkoumat kód a navrhovat protiopatření.
Falešné klikání, nebo škodlivý provoz?
Z dosavadních informací není zřejmé, kdo stojí za tímto malwarem, nicméně odborníci z Cisco Talo jsou přesvědčeni, že byl primárně navržen na podvody s klikáním – tedy pro automatické generování kliků na reklamy za účelem zvýšení příjmů z webových stránek. Proti tomu Microsoft je věří, že malware mění napadené počítače na proxy servery pro přenos škodlivého provozu.
Stejně, jako u jakéhokoli jiného malwaru, který je postaven na architektuře klient-server, mohou tvůrci Nodersoku kdykoli nasadit nové moduly k provádění dalších úkolů. Mohou dokonce instalovat sekundární malware, jako je ransomware nebo bankovní trojské koně.
Podle zjištění obou firem bylo malwarem Nodersok infikováno několik tisíc počítačů po celém světě, zejména v EU a USA. Obrana je přitom poměrně jednoduchá: nejlepší prevencí proti infiltraci je nespouštět na počítači žádné soubory HTA, zejména pokud není znám jejich původ.
Jaký si vybrat antivirový program zdarma?