بهگزارش عصرپرس به نقل از روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری
به نقل از پایگاه اینترنتی ZDNet، این بدافزار سیستمهای آلوده را به
سرورهای پراکسی تبدیل و از آنها سوءاستفاده میکند.
این بدافزار در گزارش مایکروسافت Nodersok و در گزارش سیسکو Divergent نامگذاری شده
است و از طریق آگهیهای مخربی توزیع میشود که به اجبار فایلهای HTA برنامه HTML را بر روی رایانههای
کاربران بارگیری میکند.
کاربرانی که فایلهای HTA مخرب را اجرا کنند، یک فرآیند آلودگی چند
مرحلهای با اسکریپتهای اکسل، جاوااسکریپت و PowerShell در رایانه آنان آغاز
میشود که در نهایت به نصب بدافزار Nodersok منجر میشود.
بدافزار Nodersok/ Divergent دارای چندین مؤلفه است که هر کدام نقش خاص
خود را ایفا میکنند؛ ماژول PowerShell در بدافزار، Windows
Defender و Windows Update را غیرفعال میکند.
ماژول دیگر بدافزار Nodersok/ Divergent سطح دسترسی آن را به
سطح SYSTEM ارتقا میدهد.
همچنین بدافزار از دو ماژول قانونی WinDivert و Node.js برای آغاز پراکسی SOCKS روی میزبانهای
آلوده استفاده میکند.
کارشناسان مرکز افتا میگویند در حالیکه مایکروسافت ادعا کرده است که بدافزار Nodersok/
Divergent میزبانهای آلوده را به سرور پراکسی تبدیل میکند تا بتواند
ترافیک مخرب را منتقل کند، سیسکو مدعی است از این پراکسیها برای سرقت کلیک استفاده
میشود.
کارشناسان امنیت سایبری از کاربران خواستهاند برای جلوگیری از آلودگی رایانههایشان
به بدافزار Nodersok/ Divergent، هیچ فایل HTA را
اجرا نکنند، به خصوص فایلهایی که منابع آنها نامعتبر است.