Eine neue Schadsoftware 02.10.2019, 10:35 Uhr

Microsoft warnt vor Nodersok-Malware

Eine neue Schadsoftware hat bereits tausende Windows-PCs infiziert. Die Malware wird vermutlich für Klickbetrug genutzt.
(Quelle: Alexas_Fotos/pixabay)
Eine neue Schadsoftware wurde entdeckt. Microsoft nennt sie Nodersok, Cisco Divergent, wie «ZDNet» berichtet. Beide Bezeichnungen stehen für dieselbe Malware, die seit Mitte Juli dieses Jahres tausende Windows-PCs in den USA und Europa infiziert hat.
Gemäss dem Bericht erzwingen manipulierte Werbeanzeigen Downloads von HTML-Anwendungen im HTA-Dateiformat. Wenn ein Anwender diese Datei ausführt, wird eine Infektionskette gestartet, an deren Ende die Malware steht. Die Kette verknüpft Microsoft Excel mit JavaScript und PowerShell-Skripten und lädt schliesslich Nodersok herunter. Ein PowerShell-Modul versucht, Windows Defender und Windows Update auszuschalten.
So läuft ein Nodersok-Angriff ab
Quelle: microsoft.com/security/blog
Ausserdem nutzt Nodersok WinDivert und Node.js, zwei legitime Apps, wie Microsoft schreibt (Englisch). Offenbar nutzt die Malware diese beiden Anwendungen, um einen Proxy-Server auf einem infizierten Gerät einzurichten. Cisco ist der Meinung, dass der Proxy für die Ausführung von Klickbetrug genutzt wird.
Die Mehrheit der Ziele sind demnach Verbraucher, nur etwa 3 Prozent betreffen Organisationen in Bereichen Bildung, Gesundheitswesen, Finanzen und Einzelhandel. Seit etwa dem 10. September scheint die Malware rückläufig zu sein. Wie «ZDNet» schreibt, geht Cisco allerdings davon aus, dass sich die Schadsoftware noch in der Entwicklung befindet. Trifft dies zu, wäre ein erneuter Anstieg nicht auszuschliessen.
Die Entwicklung der Nodersok-Aktivität zwischen August und September 2019
Quelle: microsoft.com/security/blog




Das könnte Sie auch interessieren