مایکروسافت: هزاران کامپیوتر ویندوزی به بدافزار Nodersok آلوده شدند

مایکروسافت و بخش امنیت سیسکو تلوس بدافزاری به نام Nodersok را تشخیص داده‌اند که توسط برنامه دیفندر مایکروسافت غیر قابل تشخیص است. این بدافزار کامپیوتر‌های بسیاری در آمریکا و اروپا را هدف قرار داده است و می‌تواند آن‌ها را تبدیل به سرور‌های پراکسی کند.

مایکروسافت این بدافزار را Nodersok نام‌گذاری کرده است درحالیکه سیسکو تلوس نام آن را Divergent گذاشته است. این بدافزار به خودی خود می‌تواند برنامه‌های مخربی را توسط ابزار‌هایش اجرا کند ولی همچنین می‌تواند از ابزار‌های فعلی نیز بهره‌مند شود.

این بدافزار با استفاده از فریم ورک Node.js و WinDivert که توسط پکت‌هایی که توسط کاربر تولید شده‌اند ویندوز‌های ۲۰۰۰، ۷، ۸‌، ۱۰ و ۲۰۱۶ را به سرور‌های پروکسی تبدیل می‌کند. بر اساس گزارش‌های مایکروسافت زمانی که Nodersok کامپیوتر هدف را تبدیل به سرور پروکسی کند، از آن برای اتصال به سرور‌های کنترل فرمان و دیگر کامپیوتر‌های آلوده استفاده می‌کند که به آن‌ها اجازه می‌دهد تا بدافزار‌های مخربی را به صورت مخفیانه اجرا کنند.

البته این دو کمپانی نسبت به کاربردهای این بدافزار به توافق نرسیده‌اند ولی سیسکو تلوس در این رابطه می‌گوید:

این بدافزار توسط هکر‌ها برای آلوده کردن کامپیوتر‌های دولتی توسعه یافته است و هدف اصلی آن‌ها کلاه‌برداری خواهد بود. همچنین این Nodersok خصوصیاتی مشابه دیگر برنامه‌های مخرب کلاه‌‌برداری مانند Kovter دارد

بر اساس ادعای سیسکو تلوس، این بدافزار همچنان در دست توسعه قرار دارد. با این وجود مایکروسافت می‌گوید که دیفندر می‌تواند حملات بر پایه Nodersok شناسایی کند ولی ردیابی این بدافزار کمی مشکل خواهد بود زیرا از زیرساخت‌های قانونی استفاده می‌کند. همچنین بر اساس گفته‌های مایکروسافت:

این بدافزار از تکنیک‌های بدون فایل استفاده می‌کند و چون زیرساخت‌های شبکه‌ای فرار دارد، باعث می‌شود که به دست مایکروسافت دیفندر شناسایی نشود.

با این حال رفتار Nodersok به گونه‌ای است که شرکت‌های تحلیلگر امنیت می‌توانند در آینده آن‌ها را تشخیص دهند. با این حال مایکروسافت می‌گوید که کاربران از باز کردن فایل‌های HTA که منبع آن‌ها را نمی‌دانند یا خودشان دانلود نکرده‌اند خودداری کنند.