Web | Viry | Malware

Malware Nodersok útočí přes webovou aplikaci. Počítač oběti zneužívá ke klikání na reklamy

Odborníci na bezpečnost ze společností Microsoft a Cisco Talo odhalili nový kmen malwaru Nodersok (označovaný též jako Divergent), který pomocí webové aplikace mění napadené počítače na proxy servery pro škodlivý internetový provoz, respektive falešné klikání na reklamy.

Samotný útok probíhá přes aplikace HTA (HTML Application), což je technologie vyvinutá Microsoftem pro internetový prohlížeč Explorer 5. Webové stránky se díky ní mohou chovat a vypadat jako běžné aplikace, přičemž mají přístup k některým systémovým funkcím.

Nový útok přes starou technologii

Prvním úkolem útočníků je přesvědčit uživatele ke stažení a následnému spuštění aplikace v podobě souboru s příponou .hta. Pokud se záměr podaří, dojde ke spuštění kódu, napsaného v JavaScriptu, který následně stáhne další soubor. Jeho cílem je pomocí příkazu PowerShellu stáhnout a spustit sadu dalších nástrojů, které se, mimo jiné, postarají o deaktivaci Windows Defenderu a Windows Update.

Součástí malwaru je také komponenta pro zvýšení oprávnění na systémovou úroveň. Další komponenty – WinDivert a Node.js - obstarávají zachycení a interakci se síťovými pakety, druhá zmíněná je známým vývojářským nástrojem pro spouštění JavaScriptu na webových serverech.

Infekce při plnění svých úkolu spoléhá na legitimní programy, ať už ty, které jsou součástí operačního systému Windows, nebo na aplikace třetích stran. Do úložiště tedy nejsou kopírovány žádné škodlivé programy, což bezpečnostním expertům značně ztěžuje možnost zkoumat kód a navrhovat protiopatření.

Falešné klikání, nebo škodlivý provoz?

Z dosavadních informací není zřejmé, kdo stojí za tímto malwarem, nicméně odborníci z Cisco Talo jsou přesvědčeni, že byl primárně navržen na podvody s klikáním – tedy pro automatické generování kliků na reklamy za účelem zvýšení příjmů z webových stránek. Proti tomu Microsoft je věří, že malware mění napadené počítače na proxy servery pro přenos škodlivého provozu.

Stejně, jako u jakéhokoli jiného malwaru, který je postaven na architektuře klient-server, mohou tvůrci Nodersoku kdykoli nasadit nové moduly k provádění dalších úkolů. Mohou dokonce instalovat sekundární malware, jako je ransomware nebo bankovní trojské koně.

Podle zjištění obou firem bylo malwarem Nodersok infikováno několik tisíc počítačů po celém světě, zejména v EU a USA. Obrana je přitom poměrně jednoduchá: nejlepší prevencí proti infiltraci je nespouštět na počítači žádné soubory HTA, zejména pokud není znám jejich původ.

Jaký si vybrat antivirový program zdarma?

Diskuze (8) Další článek: Elon Musk splnil další slib. Tesla má nový typ baterie, která zaručeně vydrží 1,6 milionu najetých kilometrů

Témata článku: Microsoft, Windows, Web, USA, Evropská unie, Viry, Reklama, Windows Update, Windows Defender, Malware, Cisco Systems, Javascript, Klikání, Aplikace, Žně, Počítač, Divergent, Proxy, Webová aplikace, HTML Application, HTA


Určitě si přečtěte

Co přijde po Netflixu a Amazonu? Tohle jsou streamovací služby, na které v Česku čekáme

Co přijde po Netflixu a Amazonu? Tohle jsou streamovací služby, na které v Česku čekáme

** Rozhodujete se mezi Netflixem a HBO Go? Věřte, bude hůř ** Na trhu je mnohem víc ambicióznějších streamovacích služeb ** Některé by mohly do ČR zamířit ještě letos

Lukáš Václavík | 45

Nejlepší aplikace na předpověď počasí: Kde nejlépe zjistit, co zrovna chcete vědět

Nejlepší aplikace na předpověď počasí: Kde nejlépe zjistit, co zrovna chcete vědět

Obecných aplikací na předpověď počasí je nespočet, jenže často skončí jen u základní informace o počasí a nenabídnou odpovědi na řadu praktických otázek. A tak jsme si položili právě několik takových otázek a hledali aplikace či meteoslužby, které nám nejlépe odpoví.

Karel Kilián | 4


Aktuální číslo časopisu Computer

Megatest: nejlepší notebooky do 20 000 Kč

Test 8 levných IP kamer

Jak vybrat bezdrátová sluchátka

Testujeme Android 11