微软发现专门研究Windows系统的Nodersok新恶意软件

自从今年7月发布Astaroth Fileless无文件攻击以来，微软已经揭示了Nodersok无文件攻击的新趋势。黑客还使用合法工具发起攻击，以将受害者系统转变为执行点击欺诈的代理。据估计，全世界有数千台Windows计算机已受到恶意软件的攻击。

在微软的报告中，该恶意软件被称为“ Nodersok”。在思科的报告中，它被称为“发散器”。 “ Nodersok”恶意软件于今年夏天首次发现，并通过恶意广告进行分发。强制将HTA（HTML应用程序）文件下载到用户的计算机。一旦运行该软件，用户计算机将执行涉及Excel，JavaScript和PowerShell脚本的多阶段感染过程，最终将恶意下载并安装Nodersok软件。

恶意软件本身具有多个组件，每个组件都有其自己的角色。有一个PowerShell模块尝试禁用Windows Defender和Windows Update，以及一个将恶意软件权限提升到SYSTEM级别的组件。

但是，还有两个被认为是合法的应用程序组件，即WinDivert和Node.js。第一个是用于捕获网络数据包并与之交互的应用程序，第二个是众所周知的用于在Web服务器上运行JavaScript的开发人员工具。

根据Microsoft和Cisco的报告，该恶意软件使用这两个合法的应用程序组件在受感染的主机上启动SOCKS代理。但是，微软之间存在分歧，微软声称该恶意软件将受感染的主机变成代理以中继恶意流量。据思科称，这些代理用于实施点击欺诈。

为了防止感染，建议您不要运行计算机上找到的任何HTA文件，尤其是在您不知道文件确切来源的情况下。

根据微软的遥测技术，Nodersok在过去几周内已成功感染了数千台机器。根据Microsoft的说法，本月大多数感染都发生，主要在欧美地区。

暴走电脑www.baozougouwu.com总结：自从今年7月发布Astaroth Fileless无文件攻击以来，微软已经揭示了Nodersok无文件攻击的新趋势。黑客还使用合法工具发起攻击，以将受害者系统转变为执行点击欺诈的代理。据估计，全世...欢迎把本文分享给你的朋友：https://www.baozougouwu.com/article/8799.html 点此投稿