不仅僵尸网络可以劫持PC来达到邪恶的目的。微软和思科的Talos研究人员已经确定了一种新的恶意软件菌株Nodersok(或Divergent),该恶意软件使用Web应用程序将系统转变为恶意Internet流量的代理。
攻击使受害者通过流氓广告或下载来运行HTA(HTML应用程序)文件,从而引发一系列复杂的事件。JavaScript中的HTA下载一个单独的JavaScript文件,并认为随后运行一个PowerShell命令下载并运行的工具一大堆,包括那些禁用的Windows Defender,要求更多的控制,捕获数据包和创建预期的代理。
至关重要的是,无论它们是内置在Windows中还是从第三方下载,感染都依赖于合法程序来完成其任务。没有将恶意软件程序复制到存储。这种方法使安全团队很难研究代码并制定对策。
不确定谁在Nodersok的背后。但是,它似乎是针对日常犯罪分子而非敌对国家的。思科认为我是“主要设计”用于点击欺诈或自动生成广告点击以增加网站收入的做法。大多数目标是欧洲和美国的典型消费者,而不是公司或政府用户。
微软和思科都热衷于吹捧其企业级防御系统阻止恶意软件的能力。但是,大多数人无法访问这些资源,而传统的基于签名的防病毒软件则很难。微软表示,Nodersok最近几周将目标对准了“成千上万台机器”,并且在不久的将来可能不会放松。
