Sayısının her geçen gün arttığını bildiğimiz kötü amaçlı yazılımlar, şimdi de web uygulamaları kullanarak yayılmaya başladı. Microsoft ve Cisco's Talo çalışanları yeni bir kötü amaçlı yazılım olan Nodersok'u keşfettiler. Bu yazılımın sadece bilgisayarınızı uzaktan ele geçirebilen botnetlerden çok daha kötü olduğu biliniyor.
Nodersok isimli yazılım, internet trafiği yaratabilmek için proxyleri web uygulamaları üzerinden ele geçiriyor. Saldırılar sahte bir reklam ya da dosya indirip HTA ile çalıştırarak yayılıyor. HTA'daki JavaScript, ayrı bir JavaScript dosyası indiriyor ve sırayla, Windows Defender'ı devre dışı bırakıp daha fazla kontrol isteyen, veri paketleri yakalamayı amaçlayan proxyler de dahil olmak üzere bir dizi araç yükleyen ve çalıştıran bir PowerShell komutunu çalıştırıyor.
Sistemde tespit edilemiyor:
Bu virüs, Windows'a yerleşik de olsa, üçüncü bir kişi tarafından indirilmiş de olsa amacına ulaşabilmek için web uygulamalarını kullanıyor. Yani depolamaya kopyalanan bir kötü amaçlı yazılım bulunmuyor. Bu durum da tespit edilmesini ve üzerinde çalışılmasını çok zorlaştırıyor.
Nodersok'un arkasında kimin olduğu belli değil ancak yazılım, kötü niyetli ülkelerden ziyade kötü niyetli kişilerin işiymiş gibi görünüyor. Cisco, yazılımın öncelikli hedefinin tıklama sahtekarlığı olduğunu düşünüyor. Yazılımın web sitelerinden elde edilen geliri artırmak amacıyla otomatik olarak reklam tıklamaları oluşturmak için yapılmış olma ihtimalinin yüksek olduğu düşünülüyor. Çoğu hedef, kurumsal veya devlet kullanıcılarından ziyade Avrupa ve ABD'deki sıradan bilgisayar kullanıcılarından oluşuyor.
Microsoft ve Cisco bu virüsü engellemek ve bir savunma sistemi oluşturmak için çalışmalar yapıyor. Çoğu insanın şu anda bu virüse ulaşabilmesi ya da tespit edebilmesi mümkün değil. Hatta birçok virüs karşıtı yazılımının da virüse karşı zor günler yaşayacağını söyleyebiliriz. Nodersok'un geçtiğimiz hafta binlerce bilgisayara eriştiğini biliyoruz ve Microsoft'a göre yakın bir zamanda bu virüsün önüne geçmek pek de mümkünmüş gibi görünmüyor.
Kaynak: Webtekno