微軟揭露新的Nodersok無檔案攻擊行動

繼今年7月公布的Astaroth無檔案（fileless）攻擊行動之後，微軟今天再公布新一波的Nodersok無檔案攻擊，駭客同樣利用合法工具展開攻擊，目的是將受害系統變成代理人以執行點擊詐騙，估計已有數千台Windows電腦倍纏上。

狡猾的的無檔案攻擊使用各種離地攻擊（living-off-the-land）技術，藉由合法工具展開一連串的感染行動。

Nodersok的開端始於使用者藉由點選或瀏覽惡意廣告，而下載與執行一個HTML程式（HTA），藏匿在該HTA檔案的JavaScript程式碼，就會自C&C伺服器下載令一個JavaScript檔案，接著下載內含PowerShell指令但被加密的MP4檔案，解密後利用PowerShell指令，來下載可關閉Windows Defender Antivirus的模組與其它模組，最後留下的是能把受害電腦辯成代理人、基於Node.JS框架的JavaScript模組。