Deprecated: class-phpmailer.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/PHPMailer.php. The PHPMailer class has been moved to wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 Deprecated: class-smtp.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/SMTP.php. The SMTP class has been moved to the wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 Cisco en Microsoft waarschuwen voor NodeJS-gebaseerde malware – Securatis

Cisco en Microsoft waarschuwen voor NodeJS-gebaseerde malware

doorSecuratis

Cisco en Microsoft waarschuwen voor NodeJS-gebaseerde malware

Zowel Cisco als Microsoft waarschuwen internetgebruikers voor NodeJS-gebaseerde malware die bij recente campagnes is gebruikt om duizenden computers in Europa en de Verenigde Staten aan te vallen. NodeJS is een platform voor het uitvoeren van JavaScript-code buiten de browser. Het gebruik van NodeJS voor de verspreiding van malware komt volgens Cisco en Microsoft zelden voor.

De aanval begint met de gebruiker die een kwaadaardig HTA-bestand downloadt en uitvoert. HTA is de afkorting voor HTML-applicaties. Eenmaal geopend probeert het HTA-bestand aanvullende JavaScript-code te downloaden, gevolgd door extra modules. Deze modules schakelen Windows Defender en Windows Update uit. Verder wordt van de officiële website NodeJS.org het legitieme bestand node.exe gedownload. Dit bestand wordt gebruikt voor het uitvoeren van de uiteindelijke JavaScript-payload die voor Node.js is geschreven en de computer in een proxy verandert.

Tevens installeert de malware de WinDivert packet capture library waarmee uitgaand netwerkverkeer kan worden aangepast en gefilterd. Het gaat dan specifiek om het blokkeren van updates voor antivirussoftware. Naast het gebruik van de machine als proxy wordt die ook voor clickfraude ingezet. De malware bezoekt websites met advertenties waarvoor de criminelen achter de malware betaald krijgen.

“Dit is niet de eerste dreiging die van Node.js gebruikmaakt. Er zijn verschillende gevallen uit het verleden bekend. Node.js is echter een bijzondere manier om malware te verspreiden. Het is niet alleen legitiem, Node.exe heeft ook een geldige digitale handtekening, waardoor kwaadaardige JavaScript in de context van een vertrouwd proces kan draaien”, zegt Microsofts Andrea Lelli. Ook volgens Edmund Brumaghi van Cisco komt het gebruik van Node.js door malware niet veel voor.

Image

https://www.security.nl/posting/625694/Cisco+en+Microsoft+waarschuwen+voor+NodeJS-gebaseerde+malware?channel=rss

Over de auteur

Securatis administrator