Microsoft: Новый вредонос Nodersok заразил тысячи Windows-компьютеров

Олег Иванов 27 Сентября 2019 - 14:48

Домашние пользователи

...

Тысячи компьютеров, работающих на операционной системе Windows, оказались заражены новым семейством вредоносных программ. Как предупредили в Microsoft, зловред скачивает и устанавливает копию фреймворка Node.js, что позволяет превращать атакованные системы в прокси и осуществлять кликфрод.

В своём отчёте Microsoft называет новый образец «Nodersok». Cisco присвоила ему другое имя — Divergent.

Впервые этот вредонос был замечен летом 2019 года, его распространяли с помощью злонамеренной рекламы, загружающей на компьютеры жертв файлы HTA (HTML-приложение).

Если пользователь запускал эти файлы, инициировался многоступенчатый процесс заражения, в котором принимали участие скрипты Excel, JavaScript и PowerShell. Заключительным этапом в систему устанавливался зловред Nodersok.

Сама вредоносная программа содержит несколько компонентов, для каждого из которых отведена своя роль. Например, есть модуль PowerShell, он пытается отключить Защитник Windows (Windows Defender) и функцию обновления Windows Update.

Помимо этого, вредонос располагает компонентом, задача которого — повысить права в системе до уровня SYSTEM.

Но есть и две абсолютно легитимных составляющих — WinDivert и Node.js. Первая используется для перехвата и анализа сетевых пакетов, а вторая — известный инструмент разработчиков, используемый для запуска JavaScript на веб-серверах.

Эксперты отмечают, что новый зловред задействует эти легитимные компоненты для поднятия SOCKS—прокси на заражённых машинах.

При этом в Microsoft заявили, что вредоносная программа превращает инфицированные хосты в прокси для передачи злонамеренного трафика, а в отчёте Cisco сказано, что компьютеры-жертвы используются для кликфрода.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 22 Января 2026 - 13:31

Kaspersky Unified Monitoring and Analysis Platform (KUMA) Корпорации Системы мониторинга событий безопасности SIEM-системы Лаборатория Касперского

KUMA 4.2 получила ИИ для выявления компрометации учётных данных

«Лаборатория Касперского» выпустила обновление своей SIEM-платформы Kaspersky Unified Monitoring and Analysis Platform (KUMA) — версия 4.2 получила сразу несколько заметных доработок. Главная из них — использование машинного обучения для выявления признаков компрометации учётных записей.

Новая ИИ-функциональность анализирует поведение пользователей и ищет аномалии, сравнивая текущую активность с привычным историческим профилем.

Если система замечает подозрительные отклонения, специалисты по ИБ получают уведомление о возможной краже или компрометации учётных данных. Такой подход позволяет реагировать на инциденты на более раннем этапе, ещё до того, как атака разовьётся.

В обновлении также появилась более гибкая ролевая модель. Теперь в KUMA можно создавать, дублировать и настраивать роли под конкретные бизнес-процессы и организационную структуру компании. Это упрощает управление доступами и помогает точнее распределять права между командами.

Отдельного внимания заслуживает коррелятор 2.0, который пока доступен в бета-версии. Он стал отказоустойчивым, масштабируемым по горизонтали и, по заявлению разработчиков, обеспечивает прирост производительности примерно в пять раз при одновременном снижении требований к инфраструктуре.

Ещё одно практичное нововведение — резервное копирование данных о событиях. В версии 4.2 можно выгружать информацию в защищённые, неизменяемые архивы. Это упрощает расследование инцидентов, проведение аудитов и выполнение регуляторных требований.

Наконец, в KUMA появилась возможность запускать длительные поисковые запросы в фоновом режиме. Это особенно удобно при разборе сложных инцидентов, когда нужно анализировать события за большой период времени, не останавливая текущую работу в системе.

По словам руководителя направления развития единой корпоративной платформы «Лаборатории Касперского» Ильи Маркелова, спрос на SIEM-системы продолжает расти, особенно среди компаний, которые выстраивают собственные SOC. В компании подчёркивают, что развитие KUMA идёт в сторону автоматизации и снижения нагрузки на специалистов, чтобы они могли сосредоточиться на анализе сложных атак и профилактике инцидентов, а не на рутинных операциях.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »