Dateilose Malware infiziert Tausende Windows-Rechner

Dateilose Malware infiziert Tausende Windows-Rechner

(Quelle: Pixabay/geralt)
1. Oktober 2019 - Microsoft und Cisco haben eine neue Malware entdeckt. Diese wird im Arbeitsspeicher ausgeführt und wird deshalb nicht vom Windows Defender entdeckt. Bereits seien Tausende Rechner mit der Nodersok beziehungsweise Divergent benannten Schadsoftware infiziert.
Microsoft nennt sie Nodersok, Cisco hat ihr den Namen Divergent verliehen. Beide Namen stehen für dieselbe Malware, die bereits Tausende Rechner infiziert haben soll, auch in Europa. Verbreitet wird sie über manipulierte Werbeanzeigen und installiert auf den infizierten Geräten einen Proxy-Server, über den offenbar unter anderem Klickbetrug betrieben wird.

Wie Microsoft schreibt, arbeitet Nodersok fileless, besteht also selbst aus keiner Datei, die auf dem Zielrechner installiert wird. Vielmehr führt ein Klick auf eine manipulierte Werbeanzeige zum Download einer HTA-Datei. Daraufhin startet ein Javascript-Befehl in der Datei den Download einer zweiten Komponente, beispielsweise einer Javascript-Datei, die wiederum einen Powershell-Befehl ausführt. Dieser führt schliesslich dazu, dass weitere Prozesse angestossen werden. So werden unter anderem der Windows Defender ausser Gefecht gesetzt und Windivert sowie Node.exe (Teil des Node.Js Framework) heruntergeladen. und schliesslich wird ein weiteres Javascript-Modul heruntergeladen, das Node.exe nutzt, um einen Proxy-Server zu installieren.

Das Problem mit Nodersok ist laut Microsoft, dass die Malware nie selbst auf dem Zielrechner installiert wird, sondern nur im Arbeitsspeicher arbeitet und darum kaum zu identifizieren ist. Ausserdem nutzt sie für die Infektion dem System bekannte und verifzierte Module wie eben Windivert oder Node.exe. Microsoft erklärt weiter, dass die eigene Sicherheitslösung Defender Advanced Threat Protection (ATP) in der Lage ist, Nodersok zu entdecken. (luc)

Kommentare

Dienstag, 1. Oktober 2019 Wohler
Könnten dadurch auch andere sensible Geräte wegen einem Angriff von irgendwo auftreten?!

Neuen Kommentar erfassen

Anti-Spam-Frage Was für Schuhe trug der gestiefelte Kater?
Antwort
Name
E-Mail
SPONSOREN & PARTNER