諾德索克

諾德索克說明

許多網絡騙子都對名為LOLBins(非生活二進製文件)的黑客技術產生了興趣。由於威脅者通過合法的應用程序和服務開展了威脅活動,因此它使網絡犯罪分子可以繞過反惡意軟件工具,從而使運營商不為所動。最近,惡意軟件研究人員發現了一種採用LOLBins技術的新威脅-Nodersok。這種威脅的作者走得更遠,並確保在攻擊的每個階段都執行這些技術,從而使Nodersok成為一種威脅,它非常安靜地運行。

將受損的計算機轉變為代理服務器

Nodersok威脅的創建者正在使用它來感染主機,並通過使用名為Node.JS框架的代理腳本向主機注入代理服務器,將其轉變為代理服務器。目前尚不清楚他們計劃如何使用滲透機,但是它們可能會被用作Nodersok創作者快速增長的基礎架構的一部分,或者僅用於大規模垃圾郵件活動中。

大多數受害者是普通用戶

Nodersok的活動主要集中在美國和歐洲。據報導,受害者已經有成千上萬,這令人印象深刻。網絡安全專家估計,受感染的主機中有3%屬於公司,這意味著幾乎所有成為Nodersok惡意軟件受害者的PC均屬於常規用戶。

如何進行攻擊

Nodersok威脅作為其攻擊的一部分執行一些任務:

  • 損壞的廣告會傳遞“ .hta”文件,該文件託管在用戶的正版雲服務上。
  • 如果用戶運行該文件,則注入的JavaScript代碼將觸發“ .xsl”或“ .js”文件的下載。
  • 一旦第二個文件滲入系統,它將開始解密過程,這將解鎖PowerShell命令。
  • 接下來,顯示的PowerShell命令將啟用威脅,以在主機上植入其他LOLBins。

其他LOLBins

如果Nodersok威脅成功並且設法下載了額外的LOLBins,則用戶可能會遇到麻煩,因為這些工具包括:

  • 前面提到的Node.JS框架。
  • 與Node.JS框架相關的模塊,允許操作員將主機轉變為休眠的代理服務器。
  • 一個網絡數據包捕獲工具包,稱為Windivert。
  • 一個shellcode,使攻擊者可以在受感染的主機上獲得管理員特權。
  • PowerShell腳本,只要係統上存在Nodersok惡意軟件,就可以確保沒有Windows安全工具能夠正常運行。

Nodersok威脅的作者非常重視安全性,並確保通過替換託管額外JavaScript代碼的域來每2-3天清除一次跟踪。

Nodersok惡意軟件並不是您可以輕易接受的威脅。確保您下載並安裝了信譽良好的防病毒軟件套件,這將幫助您安全地從系統中刪除Nodersok惡意軟件。