کمیته رکن چهارم – هزاران رایانه ویندوزی در سراسر جهان به نوعی بدافزار آلوده شدهاند که سیستمهای آلوده را به پراکسی تبدیل کرده و از آنها سوءاستفاده می کند.
به نقل از معاونت بررسی مرکز افتا، هزاران رایانه ویندوزی در سراسر جهان به نوعی بدافزار آلوده شدهاند که نسخهای از Node.js را بارگیری و نصب میکند تا سیستمهای آلوده را به پراکسی تبدیل کرده و از آنها سوءاستفاده کند.
این بدافزار در گزارش مایکروسافت Nodersok و در گزارش سیسکو Divergent نامگذاری شده است و از طریق آگهیهای مخرب که به اجبار فایلهای HTA (برنامه HTML) را روی رایانههای کاربران بارگیری میکند، توزیع میشود.
کاربرانی که فایلهای HTA مخرب را اجرا کنند، یک فرآیند آلودگی چند مرحلهای با اسکریپتهای اکسل، جاوااسکریپت و PowerShell در رایانه آنها آغاز میشود که در نهایت منجر به نصب بدافزار Nodersok میشود. این بدافزار دارای چندین مؤلفه است که هر کدام نقش خاص خود را ایفا میکنند.
ماژول PowerShell در بدافزار، Windows Defender و Windows Update را غیرفعال میکند. ماژول دیگر بدافزار، سطح دسترسی آن را به سطح SYSTEM ارتقا میدهد. همچنین دو ماژول دیگر WinDivert و Node.js در این بدافزار وجود دارد که برنامههای قانونی هستند. مورد اول برنامهای برای دریافت و تعامل با بستههای شبکه و ماژول دوم یک ابزار شناخته شده برای اجرای جاوااسکریپت روی سرورهای وب است.
طبق گزارشهای مایکروسافت و سیسکو، بدافزار از این دو برنامه قانونی برای آغاز پراکسی SOCKS روی میزبانهای آلوده استفاده میکند. مایکروسافت ادعا کرده که بدافزار میزبانهای آلوده را به پراکسی تبدیل کرده تا بتواند ترافیک مخرب را منتقل کند. از سوی دیگر ، سیسکو گزارش کرده که از این پراکسیها برای سرقت کلیک استفاده شده است.
از آنجایی که مایکروسافت این بدافزار را گزارش کرده است، Windows Defender آن را شناسایی خواهد کرد.
مرکز افتا تاکید کرده که برای جلوگیری از آلودگی، بهترین توصیه این است که کاربران هیچ فایل HTA را اجرا نکنند، به خصوص فایلهایی که منابع آنها نامعتبر است. طبق آمارهای مایکروسافت، Nodersok توانسته است طی چند هفته گذشته هزاران سیستم را آلوده کند.