Nodersok

Muitos cibercriminosos estão se interessando por técnicas de hackers chamadas LOLBins (binários de viver fora da terra). Isso está se tornando cada vez mais popular porque permite que os cibercriminosos ignorem as ferramentas antimalware, pois as campanhas ameaçadoras são realizadas por meio de aplicativos e serviços legítimos, o que ajuda os operadores a permanecerem sob o radar. Recentemente, os pesquisadores de malware detectaram uma nova ameaça que emprega as técnicas LOLBins - Nodersok. Os autores desta ameaça deram um passo adiante e garantiram que essas técnicas sejam executadas em todas as fases do ataque, tornando o Nodersok uma ameaça, que opera silenciosamente.

Transforma Máquinas Comprometidas em Servidores Proxy

Os criadores da ameaça Nodersok estão usando-a para infectar hosts e transformá-los em servidores proxy, injetando-os com um script proxy chamado framework Node.JS. Não está claro o que eles planejam fazer exatamente com as máquinas infiltradas, mas é provável que elas possam ser usadas como parte da infra-estrutura de rápido crescimento dos criadores do Nodersok ou simplesmente serem empregadas em campanhas de e-mail de spam em massa.

A Maioria das Vítimas são Usuários Regulares

A atividade do Nodersok está concentrada principalmente nos Estados Unidos e na Europa. Foi relatado que as vítimas já estão na casa dos milhares, o que é bastante impressionante. Os especialistas em segurança cibernética estimaram que 3% dos hosts infectados pertencem a empresas, o que significa que quase todos os PCs que foram vítimas do malware Nodersok pertencem a usuários comuns.

Como o Ataque é Realizado

A ameaça Nodersok executa algumas tarefas como parte de seu ataque:

• Anúncios corrompidos entregam um arquivo '.hta', hospedado em um serviço na nuvem genuíno para o usuário.
• Se o usuário executar o arquivo, o código JavaScript injetado acionará o download de um arquivo '.xsl' ou '.js'.
• Quando o segundo arquivo se infiltra no sistema, ele inicia um processo de descriptografia, que desbloqueia um comando do PowerShell.
• Em seguida, o comando do PowerShell revelado permitirá que a ameaça plante LOLBins adicionais no host.

LOLBins Adicionais

Se a ameaça Nodersok for bem-sucedida e conseguir fazer o download de LOLBins extras, o usuário poderá estar com muitos problemas, pois essas ferramentas incluem:

• A estrutura Node.JS mencionada anteriormente.
• Um módulo relacionado à estrutura Node.JS, que permite que os operadores transformem o host em um servidor proxy inativo.
• Um kit de captura de pacotes de rede chamado Windivert.
• Um código shell, que permite que os atacantes obtenham privilégios de administrador no host infectado.
• Um script do PowerShell, que garante que nenhuma das ferramentas de segurança do Windows esteja funcionando enquanto o malware Nodersok estiver presente no sistema.

Os autores da ameaça Nodersok levam a segurança muito a sério e limpam as suas trilhas a cada 2-3 dias, substituindo os domínios que hospedam o código JavaScript extra.

O malware Nodersok não é uma ameaça que você pode tomar de ânimo leve. Certifique-se de baixar e instalar um pacote de software anti-vírus respeitável, que ajudará a remover o malware Nodersok do seu sistema com segurança.