诺德索克

诺德索克说明

许多网络骗子都对名为LOLBins(非生活二进制文件)的黑客技术产生了兴趣。由于威胁者通过合法的应用程序和服务开展了威胁活动,因此它使网络犯罪分子可以绕过反恶意软件工具,从而使运营商不为所动。最近,恶意软件研究人员发现了一种采用LOLBins技术的新威胁-Nodersok。这种威胁的作者走得更远,并确保在攻击的每个阶段都执行这些技术,从而使Nodersok成为一种威胁,它非常安静地运行。

将受损的计算机转变为代理服务器

Nodersok威胁的创建者正在使用它感染主机,并通过使用名为Node.JS框架的代理脚本向主机注入代理服务器,将其转变为代理服务器。目前尚不清楚他们计划如何使用渗透机,但是它们可能会被用作Nodersok创作者快速增长的基础架构的一部分,或者仅用于大规模垃圾邮件活动中。

大多数受害者是普通用户

Nodersok的活动主要集中在美国和欧洲。据报道,受害者已经有成千上万,这令人印象深刻。网络安全专家估计,受感染的主机中有3%属于公司,这意味着几乎所有成为Nodersok恶意软件受害者的PC均属于常规用户。

如何进行攻击

Nodersok威胁作为其攻击的一部分执行一些任务:

  • 损坏的广告会传递“ .hta”文件,该文件托管在用户的正版云服务上。
  • 如果用户运行该文件,则注入的JavaScript代码将触发“ .xsl”或“ .js”文件的下载。
  • 一旦第二个文件渗入系统,它将开始解密过程,这将解锁PowerShell命令。
  • 接下来,显示的PowerShell命令将启用威胁,以在主机上植入其他LOLBins。

其他LOLBins

如果Nodersok威胁成功并且设法下载了额外的LOLBins,则用户可能会遇到麻烦,因为这些工具包括:

  • 前面提到的Node.JS框架。
  • 与Node.JS框架相关的模块,允许操作员将主机转变为休眠的代理服务器。
  • 一个网络数据包捕获工具包,称为Windivert。
  • 一个shellcode,使攻击者可以在受感染的主机上获得管理员特权。
  • PowerShell脚本,只要系统上存在Nodersok恶意软件,就可以确保没有Windows安全工具能够正常运行。

Nodersok威胁的作者非常重视安全性,并确保通过替换托管额外JavaScript代码的域来每2-3天清除一次跟踪。

Nodersok恶意软件并不是您可以轻易接受的威胁。确保您下载并安装了信誉良好的防病毒软件套件,这将帮助您安全地从系统中删除Nodersok恶意软件。