اكتشفت مايكروسوفت حملة ضارة جديدة مسؤولة عن إصابة الآلاف من أجهزة الكمبيوتر التي تعمل بنظام Windows في جميع أنحاء العالم، باسم Nodersok حيث عثر فريق أبحاث Microsoft Defender ATP على البرامج الضارة والتي يطلق عليها الاسم السابق الإشارة إليه، وأوضحوا في منشور بالمدونة أنه يتم توزيعها من خلال الإعلانات الضارة التي تجبر نظام Windows على تنزيل ملفات HTZ المستخدمة في تطبيقات HTML، بمجرد أن يعثر المستخدم على ملفات HTZ على نظامه وينقر عليها، تبدأ هذا العملية التي تفتح برامج Powershell النصية و Excel و JavaScript لتنزيل وتثبيت البرامج الضارة Nodersok.
وفقًا لما ذكرته Microsoft فإن البرامج الضارة خالية من الملفات، وتستخدم ثنائيات العيش خارج الأرض (LOLBins) للاستفادة من الأدوات والوظائف الخارجة في نظام Windows، يقوم Nodersok بعد ذلك بتنزيل وحدات شرعية مثل Windivert.dll / sys وNode.exe من إطار عمل Node.JS لتنفيذ عمله، ومع ذلك لا تتم كتابة الملفات الخبيثة والتنفيذية على قرص الجهاز المصاب، بعد إصابة النظام بالكامل يمكن لـNodersok تحويله إلى جهاز وكيل يشبه الزومبي يستخدم لشن هجمات إلكترونية أخرى وحتى إنشاء خادم ترحيل يمكنه منح المتسللين الوصول إلى خوادم الأوامر والتحكم بالإضافة إلى الأجهزة الأخرى المعرضة للخطر.
كيف تم اكتشاف Nodersok
هذا يساعد المتسللين على إخفاء نشاطهم عن الباحثين الأمنيين الذين يبحثون عن سلوك مشبوه، بالإضافة إلى Microsoft اكتشف قسم الأمن في Cisco Talos أيضًا البرامج الضارة وأطلق عليها اسم Divergent، وجد باحثو الأمن في الشركة أن الأجهزة المصابة كانت تستخدم لارتكاب عمليات احتيال النقر على شبكات الشركات المستهدفة، في منشور المدونة الخاص به أوضح باحثو Microsoft كيف اكتشفوا حملة البرامج الضارة لـ Nodersok، قائلين: «تعتبر الحملة مثيرة للاهتمام بشكل خاص ليس فقط لأنها تستخدم تقنيات متقدمة بلا ملفات، ولكن أيضًا لأنها تعتمد على بنية تحتية لشبكة بعيدة المنال تتسبب في أن يطير الهجوم تحت الرادار».
وأضافوا في ذلك المنشور لقد كشفنا عن هذه الحملة في منتصف يوليو، عندما ظهرت أنماط مشبوهة في الاستخدام الشاذ لـ MSHTA.exe من القياس عن بعد لـ Microsoft Defender ATP» للذين يهتمون بأنظمتهم ويسعون إلى الحماية من الإصابة بـ Nodersok، فلقد قامت Microsoft بتحديث برنامج مكافحة الفيروسات المجاني Microsoft Defender للكشف عن البرامج الضارة.
