هزاران رایانه ویندوزی در سراسر جهان به نوعی بدافزار آلوده شدهاند که نسخهای از Node.js را بارگیری و نصب میکند تا سیستمهای آلوده را به پراکسی تبدیل کرده و از آنها سوء استفاده کند.
به نقل از پایگاه اینترنتی ZDNet، این بدافزار در گزارش مایکروسافت Nodersok و در گزارش سیسکو Divergent نامگذاری شده است و از طریق آگهیهای مخرب که به اجبار فایلهای HTA (برنامه HTML) را بر روی رایانههای کاربران بارگیری میکند، توزیع میشود.
کاربرانی که فایلهای HTA مخرب را اجرا کنند، یک فرآیند آلودگی چند مرحلهای با اسکریپتهای اکسل، جاوااسکریپت و PowerShell در رایانه آنها آغاز میشود که در نهایت منجر به نصب بدافزار Nodersok میشود. این بدافزار دارای چندین مؤلفه است که هر کدام نقش خاص خود را ایفا میکنند. ماژول PowerShell در بدافزار، Windows Defender و Windows Update را غیرفعال میکند. ماژول دیگر بدافزار سطح دسترسی آن را به سطح SYSTEM ارتقا میدهد. همچنین دو ماژول دیگر WinDivert و Node.js در این بدافزار وجود دارد که برنامههای قانونی هستند. مورد اول برنامهای برای دریافت و تعامل با بستههای شبکه و ماژول دوم یک ابزار شناخته شده برای اجرای جاوااسکریپت روی سرورهای وب است. طبق گزارشهای مایکروسافت و سیسکو، بدافزار از این دو برنامه قانونی برای آغاز پراکسی SOCKS روی میزبانهای آلوده استفاده میکند. مایکروسافت ادعا کرده است که بدافزار میزبانهای آلوده را به پراکسی تبدیل کرده تا بتواند ترافیک مخرب را منتقل کند. از سوی دیگر ، سیسکو گزارش کرده که از این پراکسیها برای سرقت کلیک استفاده شده است.
از آنجایی که مایکروسافت این بدافزار را گزارش کرده است، Windows Defender آن را شناسایی خواهد کرد. برای جلوگیری از آلودگی، بهترین توصیه این است که کاربران هیچ فایل HTA را اجرا نکنند، به خصوص فایلهایی که منابع آنها نامعتبر است. طبق آمارهای مایکروسافت، Nodersok توانسته است در طی چند هفته گذشته هزاران سیستم را آلوده کند.
- نشانههای آلودگی (IoC):
هشها:
• ۴۷b۵dac۹۱۵۲۲۲۰fbbf۱۲۲eff۸۹ac۹۳d۴۲e۹۱۹۶f۵ab۶۶۵a۲a۶d۹۹۵۹۴۲۴۶ab۸a۸۱
• ۰۶۲۶۸۸aec۱bdf۱۲۰۸bd۷۲a۷۷۶۹۶e۱fbcd۱۰۷۶f۵۴bd۶e۵۹۱۴۱ed۱۲b۶f۸e۳ba۳۲c
• c۷۰۵۲f۴۶۷۶۱۰۲bfe۳۹ab۱۹c۲۲۷۸۳۲۸۶۱caa۲۹۵۹۹۳۳e۲۹۶ee۱۸۰۶۹۷۳۶۱۹۹۴۸۶۲۴
• ۷۸۱adc۹۱۹a۷۰۵ca۳e۸a۸۲fe۱d۱eac۶۸f۶۵۱c۵۰ba۴۰۲۱۷۲aea۰۳۳eaec۷۸۷۹e۹۳۲
• ۰۵fbd۳۸ea۰b۹۹۶۲۱d۲۲ce۵f۰۵۷۱۷۳fdec۴۰f۳dccd۶۳f۸۸۷e۱c۳۰۱۷۶۶c۶۵۹۷۷۱۴
• ۲۱۳۵acda۲d۲۷۳۹۷۷۳fbb۸۲۷e۸d۱۸۰ac۹۰۱c۰۴۰d۲f۰۷۱۱۲۷bb۵۹۷a۷۱۴۵۹۱۶۷۲cd
• ۷۲b۶a۸bf۹۵۹۸bd۴۴۵e۲۶a۰۴ab۵۸be۶۲ed۳۹۴۱fb۱fe۴cf۴a۰۹۴a۶۲۷۲a۷۷b۶۶۰۰۹
• ba۰۴eacaa۸۰bb۵da۶b۰۲e۱e۷fdf۳۷۷۵cf۵a۴۴a۶۱۷۹b۲c۱۴۲۶۰۵e۰۸۹d۷۸a۲f۵b۶
• a۸۲dd۹۳۵۸۵۰۹۴aeba۴۳۶۳c۵aeedd۱a۸۵ef۷۲c۶۰a۰۳۷۳۸b۲۵d۴۵۲a۵d۸۹۵۳۱۳۸۷۵
• ۲f۴a۹ef۲۰۷۱ee۸۹۶۶۷۴e۳da۱a۸۷۰d۴efab۴bb۱۶e۲e۲۶ea۳d۷۵۴۳d۹۸b۶۱۴ceab۹
• ۷۷۴۹۸f۰ef۴۰۸۷۱۷۵aa۸۵ce۱۳۸۸f۹d۰۲d۱۴aaf۲۸۰e۵۲ce۷c۷۰f۵۰d۳b۸۴۰۵fea۹f
• b۲d۲۹bb۹۳۵۰a۰df۹۳d۰۹۱۸c۰۲۰۸af۰۸۱f۹۱۷۱۲۹ee۴۶۵۴۴۵۰۸f۲e۱cf۳۰aa۴f۴ce
• bf۲cdd۱dc۲e۲۰c۴۲d۲۴۵۱c۸۳b۸۲۸۰۴۹۰۸۷۹b۳۵۱۵aa۶c۱۵ab۲۹۷۴۱۹۹۹۰e۰۱۷۱۴۲
• ba۰۴eacaa۸۰bb۵da۶b۰۲e۱e۷fdf۳۷۷۵cf۵a۴۴a۶۱۷۹b۲c۱۴۲۶۰۵e۰۸۹d۷۸a۲f۵b۶
• a۷۶۵۶ccba۰۹۴۶d۲۵a۴efd۹۶f۴f۴۵۷۶۴۹۴d۵f۱e۲۳e۶ad۲acc۱۶d۲e۶۸۴۶۵۶a۲d۴f
• ۶۰۷b۲f۳fd۱e۷۳۷۸۸a۴d۶f۵a۳۶۶c۷۰۸dbb۱۲d۱۷۴eba۹۸۶۳ade۰af۸۹ca۴۰e۱fdba
URLها:
• hxxps://۱۲۹۲۱۷۲۰۱۷[.]rsc[.]cdn۷۷[.]org/images/trpl.png
• hxxps://۱۲۹۲۱۷۲۰۱۷[.]rsc[.]cdn۷۷[.]org/imtrack/strkp.png
IPها:
• ۹۵[.]۷۰[.]۲۴۴[.]۲۰۹
• ۱۳[.]۲۲۸[.]۲۲۴[.]۱۲۱
• ۵۴[.]۲۴۱[.]۳۱[.]۹۹
• ۱۰۳[.]۳۱[.]۴[.]۱۱
• ۱۰۳[.]۳۱[.]۴[.]۵۴
• ۱۹۸[.]۴۱[.]۱۲۸[.]۷۴
• ۱۹۸[.]۴۱[.]۱۲۸[.]۵۵
• ۱۳۱[.]۰[.]۷۲[.]۳۶
• ۱۳۱[.]۰[.]۷۲[.]۵۹
• ۱۸۸[.]۱۱۴[.]۹۶[.]۸۷
• ۱۸۸[.]۱۱۴[.]۹۶[.]۱۱۶
• ۴۳[.]۲۵۰[.]۱۹۲[.]۹۸
• ۴۳[.]۲۵۰[.]۱۹۲[.]۸۷
• ۲۱۷[.]۱۶۰[.]۲۳۱[.]۱۲۵
• ۲۰۸[.]۹۱[.]۱۹۷[.]۲۵
• ۱۸۴[.]۱۶۸[.]۲۲۱[.]۴۲
• ۱۰۳[.]۲۲۴[.]۲۴۸[.]۲۱۹
• ۳۱[.]۳۱[.]۱۹۶[.]۱۲۰
• ۲۱۷[.]۱۶۰[.]۲۲۳[.]۹۳
• ۱۰۳[.]۲۲۴[.]۲۴۸[.]۲۱۹
• ۱۸۴[.]۱۶۸[.]۲۲۱[.]۴۵
• ۱۱۹[.]۲۸[.]۸۷[.]۲۳۵
• ۲۳[.]۲۲۷[.]۳۸[.]۳۲
• ۵۰[.]۶۳[.]۲۰۲[.]۳۹
• ۲۱۶[.]۲۳۹[.]۳۴[.]۲۱
• ۸۳[.]۲۴۳[.]۵۸[.]۱۷۲
• ۵[.]۹[.]۴۱[.]۱۷۸
• ۸۸[.]۱۹۸[.]۲۶[.]۲۵
• ۶۲[.]۷۵[.]۱۸۹[.]۱۱۰
• ۱۰۹[.]۲۳۹[.]۱۰۱[.]۶۲
• ۱۰۷[.]۱۸۶[.]۶۷[.]۴
• ۱۸۴[.]۱۶۸[.]۲۲۱[.]۶۳
• ۴۵[.]۵۵[.]۱۵۴[.]۱۷۷
• ۱۰۴[.]۲۸[.]۲[.]۱۶۹
• ۲۰۲[.]۵۶[.]۲۴۰[.]۵
• ۸۹[.]۱۶۳[.]۲۵۵[.]۱۷۱
• ۱۸۵[.]۲۴۳[.]۱۱۴[.]۱۱۱
منبع:
http://www.afta.gov.ir/