MAS INFORMACION SOBRE EL NODERSOCK, el nuevo malware que está infectando miles de PC

Miles de ordenadores Windows en todo el mundo han sido infectados con una nueva variedad de malware. Nodersok descarga e instala una copia del marco Node.js que convierte los sistemas infectados en servidores proxy que utilizan para fraudes.

Según informes de Microsoft y Cisco, el malware Nodersok se detectó por primera vez este verano camuflado en anuncios maliciosos que descargaban archivos HTA (aplicación HTML) en los equipos de los usuarios.

Los usuarios que encontraron y ejecutaron estos archivos HTA comenzaron un proceso de infección en varias etapas que involucraba scripts de Excel, JavaScript y PowerShell que eventualmente descargaron e instalaron el malware Nodersok.

Según Microsoft, Nodersok ya ha logrado infectar «miles de máquinas en las últimas semanas», si bien la mayoría de las infecciones se han producido durante este mes de septiembre y han afectado a usuarios de Estados Unidos y Europa.

El malware cuenta con múltiples componentes, cada uno con su propia función.

Por ejemplo, hay un módulo PowerShell, que busca deshabilitar Windows Defender y Windows Update. Pero también hay dos componentes que son aplicaciones legales: WinDivert y Node.js. La primera es una aplicación para capturar e interactuar con paquetes de red, mientras que la segunda es una herramienta de desarrollador conocida para ejecutar JavaScript en servidores web.

Una amenaza en desarrollo

Según Microsoft, el malware convierte los hosts infectados en servidores proxy para difundir tráfico malicioso. Sin embargo, el informe de Cisco apunta que estos servidores proxy se utilizan para realizar fraudes cuando los usuarios hacen clic.

Según Microsoft, Defender “debería” ser capaz de detectar este malware

A esto se le suma un peligro adicional. Como cualquier otra variedad de malware creada con una arquitectura cliente-servidor, los creadores de Nodersok podrían, en cualquier momento, implementar otros módulos para realizar tareas adicionales, o incluso implementar cargas secundarias de malware como ransomware o troyanos bancarios.

Desde Microsoft apuntan que Windows Defender “debería” ser capaz de detectar este malware. No obstante, y para evitar ser víctima de Nodersok, los expertos aconsejan que los usuarios no ejecuten ningún archivo HTA que encuentren en sus equipos, especialmente si no conocen el origen preciso de los archivos.

Por su parte, desde Cisco señalan que el malware parece estar todavía en desarrollo, pero todo parece apuntar a que los autores detrás de Nodersok buscan monetizar sus infecciones a través del fraude de clics. De confirmarse, esto implicaría que esta amenaza podría permanecer durante mucho tiempo.

 

 

Ver información original al respecto en Fuente>

 

Mas info sobre ello>

————

 

Al parecer puede tener relación con el dichoso mail que infectaba con el virus EMOTET, a causa de la recepción/lectura/ejecución del mail malicioso sobre el libro de Snowden :

Spammers abuse Snowden’s new book to spread emotet malware trojan downloader infections.

Read>

Sea como fuere, entre la propagación del EMOTET y ahora este que puede no ser detectado, se nos preparan fuertes dolores de cabeza !

Seguiremos informando

saludos

ms, 30-9-2019

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies