诺德索克

许多网络骗子都对名为LOLBins（非生活二进制文件）的黑客技术产生了兴趣。由于威胁者通过合法的应用程序和服务开展了威胁活动，因此它使网络犯罪分子可以绕过反恶意软件工具，从而使运营商不为所动。最近，恶意软件研究人员发现了一种采用LOLBins技术的新威胁-Nodersok。这种威胁的作者走得更远，并确保在攻击的每个阶段都执行这些技术，从而使Nodersok成为一种威胁，它非常安静地运行。

将受损的计算机转变为代理服务器

Nodersok威胁的创建者正在使用它感染主机，并通过使用名为Node.JS框架的代理脚本向主机注入代理服务器，将其转变为代理服务器。目前尚不清楚他们计划如何使用渗透机，但是它们可能会被用作Nodersok创作者快速增长的基础架构的一部分，或者仅用于大规模垃圾邮件活动中。

大多数受害者是普通用户

Nodersok的活动主要集中在美国和欧洲。据报道，受害者已经有成千上万，这令人印象深刻。网络安全专家估计，受感染的主机中有3％属于公司，这意味着几乎所有成为Nodersok恶意软件受害者的PC均属于常规用户。

如何进行攻击

Nodersok威胁作为其攻击的一部分执行一些任务：

• 损坏的广告会传递“ .hta”文件，该文件托管在用户的正版云服务上。
• 如果用户运行该文件，则注入的JavaScript代码将触发“ .xsl”或“ .js”文件的下载。
• 一旦第二个文件渗入系统，它将开始解密过程，这将解锁PowerShell命令。
• 接下来，显示的PowerShell命令将启用威胁，以在主机上植入其他LOLBins。

其他LOLBins

如果Nodersok威胁成功并且设法下载了额外的LOLBins，则用户可能会遇到麻烦，因为这些工具包括：

• 前面提到的Node.JS框架。
• 与Node.JS框架相关的模块，允许操作员将主机转变为休眠的代理服务器。
• 一个网络数据包捕获工具包，称为Windivert。
• 一个shellcode，使攻击者可以在受感染的主机上获得管理员特权。
• PowerShell脚本，只要系统上存在Nodersok恶意软件，就可以确保没有Windows安全工具能够正常运行。

Nodersok威胁的作者非常重视安全性，并确保通过替换托管额外JavaScript代码的域来每2-3天清除一次跟踪。

Nodersok恶意软件并不是您可以轻易接受的威胁。确保您下载并安装了信誉良好的防病毒软件套件，这将帮助您安全地从系统中删除Nodersok恶意软件。