image

Cisco en Microsoft waarschuwen voor NodeJS-gebaseerde malware

vrijdag 27 september 2019, 13:58 door Redactie, 0 reacties

Zowel Cisco als Microsoft waarschuwen internetgebruikers voor NodeJS-gebaseerde malware die bij recente campagnes is gebruikt om duizenden computers in Europa en de Verenigde Staten aan te vallen. NodeJS is een platform voor het uitvoeren van JavaScript-code buiten de browser. Het gebruik van NodeJS voor de verspreiding van malware komt volgens Cisco en Microsoft zelden voor.

De aanval begint met de gebruiker die een kwaadaardig HTA-bestand downloadt en uitvoert. HTA is de afkorting voor HTML-applicaties. Eenmaal geopend probeert het HTA-bestand aanvullende JavaScript-code te downloaden, gevolgd door extra modules. Deze modules schakelen Windows Defender en Windows Update uit. Verder wordt van de officiële website NodeJS.org het legitieme bestand node.exe gedownload. Dit bestand wordt gebruikt voor het uitvoeren van de uiteindelijke JavaScript-payload die voor Node.js is geschreven en de computer in een proxy verandert.

Tevens installeert de malware de WinDivert packet capture library waarmee uitgaand netwerkverkeer kan worden aangepast en gefilterd. Het gaat dan specifiek om het blokkeren van updates voor antivirussoftware. Naast het gebruik van de machine als proxy wordt die ook voor clickfraude ingezet. De malware bezoekt websites met advertenties waarvoor de criminelen achter de malware betaald krijgen.

"Dit is niet de eerste dreiging die van Node.js gebruikmaakt. Er zijn verschillende gevallen uit het verleden bekend. Node.js is echter een bijzondere manier om malware te verspreiden. Het is niet alleen legitiem, Node.exe heeft ook een geldige digitale handtekening, waardoor kwaadaardige JavaScript in de context van een vertrouwd proces kan draaien", zegt Microsofts Andrea Lelli. Ook volgens Edmund Brumaghi van Cisco komt het gebruik van Node.js door malware niet veel voor.

Image

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.