За повідомленнями мережевих джерел, тисячі працюючих під управлінням Windows комп'ютерів виявилися заражені новим видом шкідливого ПЗ, яке здійснює завантаження і встановлення копії інфраструктури Node.js, перетворюючи заражені системи на проксі-сервери, що використовуються для проведення шахрайських операцій.
Шкідливі програми, названі Nodersok у звіті Microsoft і Divergent у звіті Cisco Talos, були виявлені влітку цього року. Вони поширювалися за допомогою шкідливої реклами, яка використовувалася для примусового завантаження файлів HTML Application на комп'ютери. Користувачі, які запустили ці файли на своїх ПК, давали старт багатоетапному процесу зараження із застосуванням сценаріїв Excel, JavaScript і PowerShell, що в кінцевому підсумку призводило до завантаження і встановлення шкідливого ПЗ Nodersok.
Сама шкідлива програма має в складі кілька компонентів, призначених для виконання різних цілей. Наприклад, модуль PowerShell використовується для вимкнення Центру оновлень і стандартного захисту Windows. Крім того, є модуль, який використовується для підвищення привілеїв шкідливості в системі. Однак у складі є і законні додатки: WinDivert и Node.js. Перший інструмент використовується для захоплення та взаємодії з мережевими пакетами, а другий дозволяє запускати JavaScript на веб-серверах.
У звітах Microsoft і Cisco йдеться про те, що шкідливе ПЗ використовує два легітимних додатки для запуску проксі-сервера на заражених машинах. За даними Microsoft, шкідливе ПЗ перетворює заражені вузли на проксі-сервери для передачі шкідливого трафіку. У звіті Cisco говориться, що проксі-сервери використовуються для здійснення шахрайських дій.
Щоб запобігти зараженню, фахівці рекомендують не запускати файли HTML Application, виявлені на ПК, особливо, якщо їх походження невідоме. У будь-якому випадку, файли, які несподівано завантажуються з веб-сторінок, завжди є поганою ознакою, і їм не можна довіряти, незалежно від розширення.
