Nodersok utilizza app Web per infettare i PC
I ricercatori Talos di Microsoft e Cisco hanno identificato una nuova varietà di malware, Nodersok, che utilizza app Web per trasformare i sistemi in proxy per traffico Internet dannoso. L’attacco fa sì che le vittime eseguano un file HTA (applicazione HTML) attraverso un annuncio o un download non autorizzati, avviando una complessa sequenza di eventi. JavaScript nell’HTA scarica un file JavaScript separato e che a sua volta esegue un comando PowerShell che scarica ed esegue un intero host di strumenti, inclusi quelli che disabilitano Windows Defender, chiedono maggiore controllo, acquisiscono pacchetti di dati e creano il proxy previsto.
Fondamentalmente, l’infezione si basa su programmi legittimi per svolgere il suo compito, sia che siano integrati in Windows o scaricati da terze parti. Non ci sono programmi malware copiati nell’archivio. L’approccio rende più difficile per i team di sicurezza la ricerca del codice e l’elaborazione di contromisure.
Cisco credeva che fosse “principalmente progettato” per la frode sui clic o per la pratica di generare automaticamente clic sugli annunci per aumentare le entrate provenienti dai siti Web ma la maggior parte degli obiettivi sono consumatori normali in Europa e negli Stati Uniti piuttosto che utenti aziendali o governativi.
Sia Microsoft che Cisco sono in competizione per mettere in discussione la capacità dei loro sistemi di difesa di livello aziendale di contrastare il malware. La maggior parte delle persone non ha accesso a queste risorse e il software antivirus convenzionale non ha i requisiti per contrastarlo. Nodersok ha preso di mira “migliaia di macchine” nelle ultime settimane, secondo Microsoft, e potrebbe non arrendersi nel prossimo futuro.
