Microsoft warnt vor Nodersok-Malware

Eine neue Schadsoftware wurde entdeckt. Microsoft nennt sie Nodersok, Cisco Divergent, wie «ZDNet» berichtet. Beide Bezeichnungen stehen für dieselbe Malware, die seit Mitte Juli dieses Jahres tausende Windows-PCs in den USA und Europa infiziert hat. 

Gemäss dem Bericht erzwingen manipulierte Werbeanzeigen Downloads von HTML-Anwendungen im HTA-Dateiformat. Wenn ein Anwender diese Datei ausführt, wird eine Infektionskette gestartet, an deren Ende die Malware steht. Die Kette verknüpft Microsoft Excel mit JavaScript und PowerShell-Skripten und lädt schliesslich Nodersok herunter. Ein PowerShell-Modul versucht, Windows Defender und Windows Update auszuschalten.

Ausserdem nutzt Nodersok WinDivert und Node.js, zwei legitime Apps, wie Microsoft schreibt (Englisch). Offenbar nutzt die Malware diese beiden Anwendungen, um einen Proxy-Server auf einem infizierten Gerät einzurichten. Cisco ist der Meinung, dass der Proxy für die Ausführung von Klickbetrug genutzt wird.

Die Mehrheit der Ziele sind demnach Verbraucher, nur etwa 3 Prozent betreffen Organisationen in Bereichen Bildung, Gesundheitswesen, Finanzen und Einzelhandel. Seit etwa dem 10. September scheint die Malware rückläufig zu sein. Wie «ZDNet» schreibt, geht Cisco allerdings davon aus, dass sich die Schadsoftware noch in der Entwicklung befindet. Trifft dies zu, wäre ein erneuter Anstieg nicht auszuschliessen.