Microsoft nennt sie
Nodersok, Cisco hat ihr den Namen Divergent verliehen. Beide Namen stehen für dieselbe Malware, die bereits Tausende Rechner infiziert haben soll, auch in Europa. Verbreitet wird sie über manipulierte Werbeanzeigen und installiert auf den infizierten Geräten einen Proxy-Server, über den offenbar unter anderem Klickbetrug betrieben wird.
Wie Microsoft schreibt, arbeitet Nodersok fileless, besteht also selbst aus keiner Datei, die auf dem Zielrechner installiert wird. Vielmehr führt ein Klick auf eine manipulierte Werbeanzeige zum Download einer HTA-Datei. Daraufhin startet ein Javascript-Befehl in der Datei den Download einer zweiten Komponente, beispielsweise einer Javascript-Datei, die wiederum einen Powershell-Befehl ausführt. Dieser führt schliesslich dazu, dass weitere Prozesse angestossen werden. So werden unter anderem der Windows Defender ausser Gefecht gesetzt und Windivert sowie Node.exe (Teil des Node.Js Framework) heruntergeladen. und schliesslich wird ein weiteres Javascript-Modul heruntergeladen, das Node.exe nutzt, um einen Proxy-Server zu installieren.
Das Problem mit Nodersok ist laut Microsoft, dass die Malware nie selbst auf dem Zielrechner installiert wird, sondern nur im Arbeitsspeicher arbeitet und darum kaum zu identifizieren ist. Ausserdem nutzt sie für die Infektion dem System bekannte und verifzierte Module wie eben Windivert oder Node.exe. Microsoft erklärt weiter, dass die eigene Sicherheitslösung Defender Advanced Threat Protection (ATP) in der Lage ist, Nodersok zu entdecken.
