Web | Malware | Viry

Malware Nodersok útočí přes webovou aplikaci. Počítač oběti zneužívá ke klikání na reklamy

Odborníci na bezpečnost ze společností Microsoft a Cisco Talo odhalili nový kmen malwaru Nodersok (označovaný též jako Divergent), který pomocí webové aplikace mění napadené počítače na proxy servery pro škodlivý internetový provoz, respektive falešné klikání na reklamy.

Samotný útok probíhá přes aplikace HTA (HTML Application), což je technologie vyvinutá Microsoftem pro internetový prohlížeč Explorer 5. Webové stránky se díky ní mohou chovat a vypadat jako běžné aplikace, přičemž mají přístup k některým systémovým funkcím.

Nový útok přes starou technologii

Prvním úkolem útočníků je přesvědčit uživatele ke stažení a následnému spuštění aplikace v podobě souboru s příponou .hta. Pokud se záměr podaří, dojde ke spuštění kódu, napsaného v JavaScriptu, který následně stáhne další soubor. Jeho cílem je pomocí příkazu PowerShellu stáhnout a spustit sadu dalších nástrojů, které se, mimo jiné, postarají o deaktivaci Windows Defenderu a Windows Update.

Součástí malwaru je také komponenta pro zvýšení oprávnění na systémovou úroveň. Další komponenty – WinDivert a Node.js - obstarávají zachycení a interakci se síťovými pakety, druhá zmíněná je známým vývojářským nástrojem pro spouštění JavaScriptu na webových serverech.

Infekce při plnění svých úkolu spoléhá na legitimní programy, ať už ty, které jsou součástí operačního systému Windows, nebo na aplikace třetích stran. Do úložiště tedy nejsou kopírovány žádné škodlivé programy, což bezpečnostním expertům značně ztěžuje možnost zkoumat kód a navrhovat protiopatření.

Falešné klikání, nebo škodlivý provoz?

Z dosavadních informací není zřejmé, kdo stojí za tímto malwarem, nicméně odborníci z Cisco Talo jsou přesvědčeni, že byl primárně navržen na podvody s klikáním – tedy pro automatické generování kliků na reklamy za účelem zvýšení příjmů z webových stránek. Proti tomu Microsoft je věří, že malware mění napadené počítače na proxy servery pro přenos škodlivého provozu.

Stejně, jako u jakéhokoli jiného malwaru, který je postaven na architektuře klient-server, mohou tvůrci Nodersoku kdykoli nasadit nové moduly k provádění dalších úkolů. Mohou dokonce instalovat sekundární malware, jako je ransomware nebo bankovní trojské koně.

Podle zjištění obou firem bylo malwarem Nodersok infikováno několik tisíc počítačů po celém světě, zejména v EU a USA. Obrana je přitom poměrně jednoduchá: nejlepší prevencí proti infiltraci je nespouštět na počítači žádné soubory HTA, zejména pokud není znám jejich původ.

Jaký si vybrat antivirový program zdarma?

Diskuze (8) Další článek: Elon Musk splnil další slib. Tesla má nový typ baterie, která zaručeně vydrží 1,6 milionu najetých kilometrů

Témata článku: Microsoft, Web, Windows, USA, Malware, Evropská unie, Cisco Systems, Viry, Reklama, Windows Update, Windows Defender, Javascript, Počítač, HTA, Aplikace, Klikání, Divergent, Proxy, HTML Application, Webová aplikace


Určitě si přečtěte

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

** Ačkoliv je grafických linuxů plný internet, stále vládnou Windows ** Jeden z nich se jmenuje Zorin OS a nedávno se dočkal aktualizace ** Dělají jej dva kluci z Irska a je fakt hezký

Jakub Čížek | 114

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

** V Gmailu je řada užitečných funkcí, které možná všechny neznáte ** Odeslání mailu můžete například pozdržet či naplánovat na později ** Nad Gmailem můžete mít s několika triky daleko lepší kontrolu

Karel Kilián | 25



Aktuální číslo časopisu Computer

Speciál o přechodu na DVB-T2

Velký test herních myší

Super fotky i z levného mobilu

Jak snadno upravit PDF