Nodersok, Web Uygulamalarını Kullanarak Saldırıyor

Sayısının her geçen gün arttığını bildiğimiz berbat maksatlı yazılımlar, artık de web uygulamaları kullanarak yayılmaya başladı. Microsoft ve Cisco's Talo çalışanları yeni bir makus hedefli yazılım olan Nodersok'u keşfettiler. Bu yazılımın yalnızca bilgisayarınızı uzaktan ele geçirebilen botnetlerden çok daha berbat olduğu biliniyor.

Nodersok isimli yazılım, internet trafiği yaratabilmek için proxyleri web uygulamaları üzerinden ele geçiriyor. Akınlar düzmece bir reklam ya da belge indirip HTA ile çalıştırarak yayılıyor. HTA'daki JavaScript, farklı bir JavaScript evrakı indiriyor ve sırayla, Windows Defender'ı devre dışı bırakıp daha fazla denetim isteyen, bilgi paketleri yakalamayı amaçlayan proxyler de dahil olmak üzere bir dizi araç yükleyen ve çalıştıran bir PowerShell komutunu çalıştırıyor.

Sistemde tespit edilemiyor:

Bu virüs, Windows'a yerleşik de olsa, üçüncü bir kişi tarafından indirilmiş de olsa gayesine ulaşabilmek için web uygulamalarını kullanıyor. Yani depolamaya kopyalanan bir makus emelli yazılım bulunmuyor. Bu durum da tespit edilmesini ve üzerinde çalışılmasını çok zorlaştırıyor. 

Nodersok'un ardında kimin olduğu belirli değil ancak yazılım, makûs niyetli ülkelerden fazla makûs niyetli şahısların işiymiş üzere görünüyor. Cisco, yazılımın öncelikli hedefinin tıklama sahtekarlığı olduğunu düşünüyor. Yazılımın web sitelerinden elde edilen geliri artırmak gayesiyle otomatik olarak reklam tıklamaları oluşturmak için yapılmış olma ihtimalinin yüksek olduğu düşünülüyor. Birçok gaye, kurumsal yahut devlet kullanıcılarından çok Avrupa ve ABD'deki sıradan bilgisayar kullanıcılarından oluşuyor.

Microsoft ve Cisco bu virüsü engellemek ve bir savunma sistemi oluşturmak için çalışmalar yapıyor. Birden fazla insanın şu anda bu virüse ulaşabilmesi ya da tespit edebilmesi mümkün değil. Hatta birçok virüs tersi yazılımının da virüse karşı sıkıntı günler yaşayacağını söyleyebiliriz. Nodersok'un geçtiğimiz hafta binlerce bilgisayara eriştiğini biliyoruz ve Microsoft'a nazaran yakın bir vakitte bu virüsün önüne geçmek pek de mümkünmüş üzere görünmüyor.