По сообщениям сетевых источников, тысячи работающих под управлением Windows компьютеров оказались заражены новым видом вредоносного ПО, которое осуществляет загрузку и установку копии инфраструктуры Node.js, преобразуя заражённые системы в прокси-серверы, используемые для проведения мошеннических операций.
Вредоносные программы, названные Nodersok в отчёте Microsoft и Divergent в отчёте Cisco Talos, были обнаружены летом этого года. Они распространялись с помощью вредоносной рекламы, которая использовалась для принудительной загрузки файлов HTML Application на компьютеры. Пользователи, запустившие эти файлы на своих ПК, давали старт многоэтапному процессу заражения с применением сценариев Excel, JavaScript и PowerShell, что в конечном итоге приводило к загрузке и установке вредоносного ПО Nodersok.
Сама вредоносная программа имеет в составе несколько компонентов, предназначенных для выполнения разных целей. К примеру, модуль PowerShell используется для отключения Центра обновлений и стандартной защиты Windows. Кроме того, есть модуль, используемый для повышения привилегий вредоноса в системе. Однако в составе имеются и законные приложения: WinDivert и Node.js. Первый инструмент используется для захвата и взаимодействия с сетевыми пакетами, а второй позволяет запускать JavaScript на веб-серверах.
В отчётах Microsoft и Cisco говорится о том, что вредоносное ПО использует два легитимных приложения для запуска прокси-сервера на заражённых машинах. По данным Microsoft, вредоносное ПО превращает заражённые узлы в прокси-серверы для передачи вредоносного трафика. В отчёте Cisco говорится, что прокси-серверы используются для совершения мошеннических действий.
Чтобы предотвратить заражение, специалисты рекомендуют не запускать файлы HTML Application, обнаруженные на ПК, особенно, если их происхождение неизвестно. В любом случае, файлы, которые неожиданно загружаются с веб-страниц, всегда являются плохим признаком, и им нельзя доверять, независимо от расширения.