btbilgi

Dünyanın dört bir yanındaki binlerce Windows işletim yüklü bilgisayara saldıran yeni bir yazılım keşfedilmiş durumda. Bir Microsoft güvenlik raporunda ‘Nodersok’ adı verilen kötü niyetli yazılım, Cisco Talos raporunda ise ‘Divergent’ adı ile duyurulmuş. Microsoft raporunda Nodersok’un son birkaç haftada binlerce makineye bulaşmayı başardığı, çoğu saldırının ABD ve AB kullanıcılarına yöneltildiği açıklanıyor.

Yaz aylarında tespit edilen yazılımın, sahte reklamlar aracılığı ile kullanıcıların bilgisayarlarına zorla HTML uygulaması (HTA) indirdiği saptanmış. HTA dosyalarını çalıştıran kullanıcılar Excel, JavaScript ve PowerShell scriptleri içeren çok aşamalı bir enfeksiyon sürecinin başlamasına sebep oluyorlar. Bu sürecin sonunda da Nodersok yazılımı PC’ye otomatik şekilde indiriliyor ve siber saldırı üst seviyeye çıkıyor. Bu kötü niyetli yazılımın birden fazla bileşene sahip olduğu belirtilmekte. Hem Windows Defender ve Windows Update’i devre dışı bırakmaya çalışan PowerShell modülüne, hem de yazılımın izinlerini sistem yöenticisi seviyesine yükseltmek için uğraşan bir başka bileşen bulunmuş.

Binlerce PC’yi etkileyen yeni kötü niyetli yazılım Nodersok
Kaynak: Microsoft

Yazılım arka planda WinDivert ve Node.js isimli iki yasal işletim istemi bileşenini de devreye sokmakta. Birincisi ağ paketlerini yakalamak ve bunlarla etkileşimde geçmekte kullanılıyor. Diğeri web sunucularında JavaScript çalıştırmak için kullanılan ve geliştiricilerin iyi bildiği bir başka araç. Microsoft ve Cisco kendi raporlarında bu iki yasal bileşenin kullanılmasını ele almış. Ama iki raporda Nodersok’un bunları farklı biçimlerde işlediği anlatılmakta. Microsoft kötü amaçlı yazılımın, bulaştığı bilgisayarları yazılımı yaymak amacı ile birer proxy’ye dönüştürdüğünü iddia ediyor. Cisco ise yazılım bulaşmış PClerin link tıklama dolandırıcılığı amacıyla kullanıldığını söylüyor.

Nodersok yaratıcılarının, istemci-sunucu mimarisini odak almış tüm kötü niyetli yazılımlar gibi bu aracı çeşitli siber saldırı türleri için değrlendirebileceği ifade edilmekte. Başka zararlı modüller yaymada, fidye veya bankacılık trojanları gibi diğer yazılımları dağıtmakta kullanılabilir deniliyor. Cisco raporunda yazılımın geliştirme sürecinde olduğunu ve daha da tehlikeli hale gelebileceğini düşündüğünü iletmiş.

Kullanıcıların bu yazılımın bulaşmasını önlemek için şüpheli HTA dosyalarını çalıştırmamaları tavsiye edilmiş. Özellikle de dosyaların kaynağı belli değilse, kesinlikle açılmamaları yönünde uyarı var. Kullanıcıların herhangi bir web sayfasından indirdikleri tüm dosyaların güvenliğinden şüphe etmeleri, tüm güvenlik firmalarının verdiği en genel tavsiye.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.