News

Fiese Malware ohne Dateien, Warnung vor Nodersok-Angriff

von Oliver Hänsel

Microsoft warnt derzeit vor einer Malware namens Nodersok, die besondere Tricks nutzt, um Windows-Rechner zu infizieren. Meist bringen Schädlinge eine manipulierte Datei mit, die Virenscanner dann zweifelsfrei erkennen und blockieren können. Nodersok gehört aber zu den "Fileless"-Schädlingen, die Malware kommt also ohne Datei aus und klinkt sich direkt in den Arbeitsspeicher ein. Für Virenscanner wie Windows Defender bringt das die Schwierigkeit mit sich, dass Nodersok nur anhand des Verhaltens erkannt werden kann.
 
Microsoft dröselt in seiner Warnung die Infektionsschritte von Nodersok genau auf. Schon seit Juli soll der Schädling unterwegs sein und vor allem in den USA, aber auch in Europa tausende Rechner infiziert haben. Dabei arbeitet Nodersok mehrstufig und bedient sich am Note.js-Framework sowie am Netzwerk-Analyse-Tool WinDivert. Kern des Angriffs ist ein schädliches Script, das sich beispielsweise in einer manipulierten Anzeige auf einer Webseite verstecken kann. Ein Klick reicht, um den Mechanismus in Gang zu setzen. Der Script-Code wird ausgeführt und startet ein PowerShell-Kommando, das wiederum mit verschiedenen verschlüsselten Modulen arbeitet.
Eines davon versucht den Defender abzuschalten, ein anderes versucht die Rechte auszuweiten und schließlich soll der Windows-PC zu einem Proxy umfunktioniert werden. Ohne dass man es als Nutzer merkt, wird der eigene Windows-PC zum Zombie, der sich für Angriffe auf andere IT-Systeme einspannen lässt.
 
Microsofts Advanced Threat Protection soll vor Nodersok schützen. Doch die ist nicht Teil des Windows Defender auf normalen Windows-Systemen, sondern ein Zusatzschutz für Unternehmen. Die Erkenntnisse des Cloud-Schutzes fließen aber zurück zum normalen Windows Defender, sodass dieser gegen die bekannten Nodersok-Varianten auch schützen soll. Die Frage ist nur, wie schnell der Defender auf Abwandlungen reagiert. Eine gute Idee ist es auf jeden Fall, den Manipulationsschutz in der Einstellungen zu aktivieren.
 
 

Zurück

Cookies erleichtern die Nutzung unserer Internetseite. Mit der Nutzung erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weiterlesen …