Web | Viry | Malware

Malware Nodersok útočí přes webovou aplikaci. Počítač oběti zneužívá ke klikání na reklamy

Odborníci na bezpečnost ze společností Microsoft a Cisco Talo odhalili nový kmen malwaru Nodersok (označovaný též jako Divergent), který pomocí webové aplikace mění napadené počítače na proxy servery pro škodlivý internetový provoz, respektive falešné klikání na reklamy.

Samotný útok probíhá přes aplikace HTA (HTML Application), což je technologie vyvinutá Microsoftem pro internetový prohlížeč Explorer 5. Webové stránky se díky ní mohou chovat a vypadat jako běžné aplikace, přičemž mají přístup k některým systémovým funkcím.

Nový útok přes starou technologii

Prvním úkolem útočníků je přesvědčit uživatele ke stažení a následnému spuštění aplikace v podobě souboru s příponou .hta. Pokud se záměr podaří, dojde ke spuštění kódu, napsaného v JavaScriptu, který následně stáhne další soubor. Jeho cílem je pomocí příkazu PowerShellu stáhnout a spustit sadu dalších nástrojů, které se, mimo jiné, postarají o deaktivaci Windows Defenderu a Windows Update.

Součástí malwaru je také komponenta pro zvýšení oprávnění na systémovou úroveň. Další komponenty – WinDivert a Node.js - obstarávají zachycení a interakci se síťovými pakety, druhá zmíněná je známým vývojářským nástrojem pro spouštění JavaScriptu na webových serverech.

Infekce při plnění svých úkolu spoléhá na legitimní programy, ať už ty, které jsou součástí operačního systému Windows, nebo na aplikace třetích stran. Do úložiště tedy nejsou kopírovány žádné škodlivé programy, což bezpečnostním expertům značně ztěžuje možnost zkoumat kód a navrhovat protiopatření.

Falešné klikání, nebo škodlivý provoz?

Z dosavadních informací není zřejmé, kdo stojí za tímto malwarem, nicméně odborníci z Cisco Talo jsou přesvědčeni, že byl primárně navržen na podvody s klikáním – tedy pro automatické generování kliků na reklamy za účelem zvýšení příjmů z webových stránek. Proti tomu Microsoft je věří, že malware mění napadené počítače na proxy servery pro přenos škodlivého provozu.

Stejně, jako u jakéhokoli jiného malwaru, který je postaven na architektuře klient-server, mohou tvůrci Nodersoku kdykoli nasadit nové moduly k provádění dalších úkolů. Mohou dokonce instalovat sekundární malware, jako je ransomware nebo bankovní trojské koně.

Podle zjištění obou firem bylo malwarem Nodersok infikováno několik tisíc počítačů po celém světě, zejména v EU a USA. Obrana je přitom poměrně jednoduchá: nejlepší prevencí proti infiltraci je nespouštět na počítači žádné soubory HTA, zejména pokud není znám jejich původ.

Jaký si vybrat antivirový program zdarma?

Diskuze (8) Další článek: Elon Musk splnil další slib. Tesla má nový typ baterie, která zaručeně vydrží 1,6 milionu najetých kilometrů

Témata článku: Microsoft, Windows, Web, USA, Viry, Malware, Evropská unie, Windows Update, Windows Defender, Reklama, Javascript, Cisco Systems, Aplikace, Proxy, HTA, Webová aplikace, Divergent, Klikání, Počítač, HTML Application, Žně


Určitě si přečtěte

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 7

České Rajče je stále plné dětských nahotin. Student pomocí A.I. analyzoval miliony fotek

České Rajče je stále plné dětských nahotin. Student pomocí A.I. analyzoval miliony fotek

** Rajče.net má odjakživa problémy s choulostivými fotkami dětí ** Student zlínské univerzity analyzoval jeho katalog ** Neuronová síť doposud prozkoumala 6 milionů snímků

Jakub Čížek, Filip Šedivý | 75

Vyzkoušeli jsme TP-Link Deco P9: zajistí doma Wi-Fi díky drátům ve zdi

Vyzkoušeli jsme TP-Link Deco P9: zajistí doma Wi-Fi díky drátům ve zdi

** Nová generace Mesh Wi-Fi s propojením přes elektrické rozvody ** Lepší parametry a nižší cena než u předchůdce ** Aplikace zatím podporuje jen základní nastavení bez rozšířených funkcí

Tomáš Holčík | 25

Měření rychlosti internetu: Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

Měření rychlosti internetu: Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

** Speedtest stále častěji měří jen rychlost na poslední míli ** Ta však ale neodpovídá reálnému surfování ** Jak se tedy pokusit změřit tu skutečnou?

Jakub Čížek | 85

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

** Chudí Američané mohou dosáhnout na dotovaný mobil ** Jeden takový rozdává třeba tamní Virgin Mobile ** Má to jeden háček. Je prošpikovaný malwarem

Jakub Čížek | 42

Proč teď nedává smysl kupovat notebook a kdy přijde ten správný čas

Proč teď nedává smysl kupovat notebook a kdy přijde ten správný čas

** Během pár týdnů přijdou na trh výkonnější notebooky ** Čím dražší notebook vybíráte, tím víc se vám změní nabídka ** Také lehké notebooky budou téměř herní

Tomáš Holčík | 52



Aktuální číslo časopisu Computer

Megatest 12 bezdrátových sluchátek

Vyplatí se Apple z bazaru?

Test batohů pro notebooky

Vybíráme nejlepší sportovní hodinky