Windows 10 na celowniku Divergent/Nodersok. Cisco Talos i Microsoft potwierdzają zagrożenie

Firmy Microsoft i Cisco Talos zidentyfikowały nowe szkodliwe oprogramowanie, które szybko rozprzestrzeniło się na tysiące komputerów w Europie i Stanach Zjednoczonych. Microsoft deklaruje, że Defender potrafi je już skutecznie rozpoznać.

Co interesujące, choć zarówno badacze z Microsoftu, jak i Cisco Talos opublikowali obszerne opisy dotyczące nowego zagrożenia, wciąż nie ma jednoznacznego i spójnego wyjaśnienia jak dokładnie działa. Problematyczny malware ma nawet dwie nazwy. Cisco Talos określa go jako Divergent, zaś Microsoft mówi o oprogramowaniu Nodersok.

Divergent/Nodersok ukrywa swoją aktywność w plikach binarnych Windowsa, jest to więc tak zwany LOLBin. W tym przypadku dodatkowo wykorzystywany jest framework Node.js oraz WinDivert – narzędzie do przechwytywania i manipulacji pakietami sieciowymi. W praktyce zagrożony jest więc między innymi Windows 7, 8 i 10.

Microsoft podaje, że malware stara się przekierowywać ruch sieciowy, zaś Cisco Talos tłumaczy, iż chodzi o nakłanianie do kliknięć w sponsorowane linki. Obydwie firmy deklarują natomiast, że ich oprogramowanie zabezpieczające zostało już zaktualizowane i potrafi skutecznie rozpoznać Divergent/Nodersok, choć jednocześnie mówi się, że malware zdążył już zainfekować tysiące komputerów.

Warto zaznaczyć, że opisywany malware jest najprawdopodobniej stale rozwijany. Badacze z Cisco Talos w czasie analizy zidentyfikowali bowiem kilka wersji modułu wykorzystywanego do instalacji Divergent.