Serviciul Tehnologia Informației și Securitate Cibernetică avertizează și informează despre o nouă amenințare cibernetică globală ce se răspândește cu pași rapizi în lumea calculatoarelor, folosind instrumente legitime în scopuri rău intenționate – Nodersok.

Nodersok reprezintă o familie de troieni, care sunt programe malițioase fără fișiere mascate, adesea, în programe software legitime. Scopul lor principal este de a obține acces la sistemele utilizatorilor, păcălindu-i prin inginerie socială la descărcarea și executarea acestora. Odată activați, troienii pot permite răufăcătorilor să spioneze, să compromită date sensibile și să obțină acces neautorizat la sistemul victimei.

Mii de calculatoare care rulează pe sistemul de operare Windows au fost deja infectate cu acest program malițios de tip “fileless” care folosește o copie a framework-ului Node.js cu scopul de a manipula sistemele infectate, transformând host-urile infectate în proxy pentru a transmite traficul rău intenționat, precum și de a efectua fraude de tip clic.

Este distribuit și „ascuns” prin anunțuri dăunătoare care infectează utilizatorii folosind un atac de descărcare drive-by.

Atacul fară fișiere are loc in două stagii:

Prima etapă:

Infecția începe atunci când anunțurile rău intenționate aruncă fișierul aplicației HTML (HTA) pe computerele utilizatorilor, care, atunci când faceți clic, execută o serie de sarcini (payloads) JavaScript și scripturi PowerShell care, în cele din urmă, descarcă și instalează programul malware Nodersok.

Etapa a doua:

Codul javaScript din fișierul HTA descarcă apoi o componentă sub forma unui alt fișier JavaScript sau a unui fișier XSL care conține cod JavaScript. Această componentă lansează o comandă PowerShell ascunsă în interiorul unei variabile de mediu și respectiv lansează instanțe suplimentare PowerShell, conform Microsoft.

Comenzile PowerShell descarcă și execută componente criptate care, printre altele, încearcă să dezactiveze Windows Defender Antivirus și Windows Update și lansează un cod shell binar care încearcă să facă escalare de privilegi pe mașina infectată. Încărcarea finală a programului malware este un modul JavaScript scris în cadrul Node.js care poate transforma calculatorul infectat într-un proxy.

Împreună cu acestea sunt descărcate fișiere de configurare ale programului malițios care reprezintă un mijloc de instalare a unui instrument de asistență de la distanță pe calculatoarele infectate, permițînd atacatorului să vizualizeze și să controleze, eventual, calculatorul victimei.

Pentru a preveni infecțiile cu acest program malițios, Serviciul Tehnologia Informației și Securitate Cibernetică recomandă tuturor utilizatorilor să nu execute niciun fișier HTA pe care îl găsesc în calculatoarele lor, mai ales dacă nu cunosc originea exactă a fișierelor respective.

Vedeți în continuare și alte recomandări de securitate împotriva pragramului malițios, Nodersok:

1. evitați să faceți clic pe anunțuri banner și să vizitați site-uri aleatorii dubioase;
2. nu deschideți și descărcați atașamente de la email-uri spam sau necunoscute;
3. rămâneți  conectat doar la surse de încredere;
4. folosiți programe software licențiate, iar dacă descărcați un soft open source verificați ca sursa să fie una sigură;
5. utilizați un firewall, acesta va controla și monitoriza datele de intrare provenite din traficul de rețea extern în dispozitivul dumneavoastră;
6. folosiți un software antivirus și actualizați-l în mod regulat;
7. mențineți browserul la zi și aplicați corecții de securitate.