Son zamanlarda artış gösteren kötü amaçlı yazılımlar, şimdi yayılmak için daha etkili ve tehlikeli bir yol bulmuş durumda. Bu sayede çok fazla bilgisayarı aynı anda tehdit ediyorlar.
Sayısının her geçen gün arttığını bildiğimiz kötü amaçlı yazılımlar, şimdi de web uygulamaları kullanarak yayılmaya başladı. Microsoft ve Cisco’s Talo çalışanları yeni bir kötü amaçlı yazılım olan Nodersok’u keşfettiler. Bu yazılımın sadece bilgisayarınızı uzaktan ele geçirebilen botnetlerden çok daha kötü olduğu biliniyor.
Nodersok isimli yazılım, internet trafiği yaratabilmek için proxyleri web uygulamaları üzerinden ele geçiriyor. Saldırılar sahte bir reklam ya da dosya indirip HTA ile çalıştırarak yayılıyor. HTA’daki JavaScript, ayrı bir JavaScript dosyası indiriyor ve sırayla, Windows Defender’ı devre dışı bırakıp daha fazla kontrol isteyen, veri paketleri yakalamayı amaçlayan proxyler de dahil olmak üzere bir dizi araç yükleyen ve çalıştıran bir PowerShell komutunu çalıştırıyor.
Nodersok Sistemde Tespit Edilemiyor
Bu virüs, Windows’a yerleşik de olsa, üçüncü bir kişi tarafından indirilmiş de olsa amacına ulaşabilmek için web uygulamalarını kullanıyor. Yani depolamaya kopyalanan bir kötü amaçlı yazılım bulunmuyor. Bu durum da tespit edilmesini ve üzerinde çalışılmasını çok zorlaştırıyor.
Nodersok’un arkasında kimin olduğu belli değil ancak yazılım, kötü niyetli ülkelerden ziyade kötü niyetli kişilerin işiymiş gibi görünüyor. Cisco, yazılımın öncelikli hedefinin tıklama sahtekarlığı olduğunu düşünüyor. Yazılımın web sitelerinden elde edilen geliri artırmak amacıyla otomatik olarak reklam tıklamaları oluşturmak için yapılmış olma ihtimalinin yüksek olduğu düşünülüyor. Çoğu hedef, kurumsal veya devlet kullanıcılarından ziyade Avrupa ve ABD’deki sıradan bilgisayar kullanıcılarından oluşuyor.
