ຈາກຮູບ​ພາບ ​ສະຫຼຸບ​ການ​ໂຈມ​ຕີ​ດ້ານ​ເທິງ​ Nodersok ຖືວ່າ​ເປັນ​ມັນ​ແວ​ທີ່​ມີ​ຄວາມໜ້າສົ​ນ​ໃຈ​ ໂດຍຈະ​ເຫັນ​ໄດ້​ວ່າ​ເປັນ​ການ​ໂຈມ​ຕີ​ແບບ​ Multi-stage infection ຊຶ່ງ​ເລີ່ມຈາກການ​ແຜ່​ມາ​ທາງ​ໂຄສະນາ​ອັນຕະລາຍ​ໃນ​ໜ້າ​ເວັບໄຊ ​ຫຼື ​ລິ້ງ​ອັນຕະລາຍ​ທີ່​ເຮັດໃຫ້​ຜູ້​ໃຊ້​ໂຫຼດ​ໄຟ​ລ໌​ HTA (HTML Application) ເຂົ້າ​ມາ​ ຈາກ​ນັ້ນ​ໂຄ້ດ (Code)​ JavaScript ທີ່​ຢູ່ໃນ​ HTA ຈະ​ໄປ​ດາວ​ໂຫຼດ​ສ່ວນ​ປະກອບ​ອື່ນ​ໆ​ ຄື​ XSL ແລະ​ JavaScript ຂັ້ນ​ຕອນຕໍ່ໄປຈະ​ໄປ​ຣັນ​ (Run) ຄຳ​ສັ່ງ​ PowerShell ທີ່​ຖືກ​ Encode ໃນ​ຮູບ​ແບບ​ຂອງ​ deadbeef  ແລະ​ ສຸດ​ທ້າຍ​ນຳ​ໄປ​ສູ່​ຜົນ​ໄດ້ຮັບດັ່ງ​ນີ້​:

• ພະຍາຍາມ​ Disable ໂປຣ​ແກຣມ​ Windows Defender Antivirus ແລະ​ Windows Update;
• ພະຍາຍາມ​ໃຊ້​ Binary Shellcode ເພື່ອ​ຍົກ​ລະດັບ​ສິດເຂົ້າເຖິງລະບົບປະຕິບັດການວິນໂດ​;
• ໃຊ້​ Windivert ທີ່​ເປັນ​ໄລ​ບ​ຣາ​ຣີ່ (Libraries)​ ດັກ​ຈັບ​ແພັກ​ເກັດ (Packet);
• ໃຊ້​ JavaScript ໂມ​ດູນ​ (Module) ທີ່​ຂຽນ​ໃນ​ Node.js ເພື່ອ​ປ່ຽນ​ເຄື່ອງ​ໃຫ້ເປັນ​ Proxy;

ສຳລັບ​ຈຸດ​ທີ່​ເປັນທີ່ສັງເກດ​ບ່ອນນີ້ ​ຄື​ເຕັກ​ນິກ​ Living-off-the-land ທີ່​ມີ​ການ​ໃຊ້​ PowerShell ແລະ​ການ​ໃຊ້​ງານ​ Node.js Framework ແລະ​ Windivert ທີ່​ປົກກະຕິ​ແລ້ວ​ ກໍ່​ບໍ່​ໄດ້​ຖືກຈັດ​ເປັນ​ເຄື່ອງ​ມື​ໂຈມ​ຕີ​​ ນອກ​ຈາກ​ນີ້​ຜູ້​ຊ່ຽວ​ຊານ​ຍັງ​ໃຫ້​ຄວາມ​ເຫັນ​ວ່າ​ “ທຸກ​ຟັງ​​ຊັ່ນ​ທີ່ເກີດຂຶ້ນ​ຂອງ​ Script ແລະ​ Shellcode ມັກ​ຈະ​ມາ​ໃນ​ຮູບ​ແບບ​ຂອງ​ການ​ເຂົ້າ​ລະຫັດ​, ຖອດ​ລະຫັດ​ ແລະ​ ຣັນ​ໃນ​ໜ່ວຍ​ຄວາມ​ຈຳ​ເທົ່າ​ນັ້ນ​ ບໍ່​ມີ​ສ່ວນ​ໃດ​ເລີຍ​ທີ່​ຖືກ​ຂຽນ​ເທິງ​ດິສ (Disk)”.

ອີກ​ຢ່າງໜຶ່ງຄື ​​ຍັງມີ​ຄວາມ​ເຫັນ​ແຕກ​ຕ່າງ​ກັນ​ເລັກນ້ອຍ​ໃນ​ແງ່ຂອງ​ Cisco ແລະ​ Microsoft ທີ່​ຝ່າຍ​ທໍາອິດ ​ຊີ້ແຈງ​ວ່າ​ມັນ​ແວ​ໄດ້​ໃຊ້​ Proxy ເພື່ອ​​ Click-fraud ແຕ່​ຝ່າຍ​ຕໍ່ມາຊີ້​ແຈງວ່າ​ໃຊ້​ Proxy ເພື່ອ​ Relay ການຈໍລະຈອນ (Traffic) ​ອັນຕະລາຍ ຊຶ່ງ​ປັດຈຸບັນ ​ພົບ​ວ່າ​ມີ​ເຫຍື່ອ​ຖືກ​ໂຈມ​ຕີ​ເທື່ອ​ນີ້​ແລ້ວ​ຫຼາຍກວ່າ​ພັນ​ຄົນ​ໃນ​ແຖບ​ເອີລົບ ​ແລະ ​ອາ​ເມ​ຣິ​ກາ​.

ເອກະສານອ້າງອີງ:

1. https://www.zdnet.com/article/microsoft-new-nodersok-malware-has-infected-thousands-of-pcs/ 
2. https://www.bleepingcomputer.com/news/security/microsoft-spots-nodersok-malware-campaign-that-zombifies-pcs/
3. https://www.techtalkthai.com/found-new-multi-stage-infection-malware-nodersok/