Microsoft y Cisco Talos han descubierto un nuevo malware, bautizado Nodersok por la primera compañía y Divergent por la segunda, el cual tiene la capacidad de utilizar PCs con sistema Windows para que algún atacante pueda llevar a cabo comportamiento mal intencionado, principalmente en redes corporativas.
Lo más alarmante es que Microsoft señala que si bien Windows Defender es capaz de detectar Nodersok, esto puede ser difícil, ya que este código se apodera de infraestructura de red legítima para funcionar.
De acuerdo al sitio IBTimes, los investigadores de Microsoft han descubierto que Nodersok convierte a equipos que utilizan Windows 7, 8 y 10, así como las ediciones Server 2008 y 2016, en proxys involuntarios, al utilizar framework node.js y el paquete WinDivert.
De esta forma, el malware convierte a computadoras Windows en un relevo para acceder a otras entidades de red, entre las que se encuentran sitios web, servidores C&C, entre otros, para llevar a cabo actividades maliciosas de manera cautelosa.
Por su parte, Cisco Talos indica que Nodersok, al que ellos llaman Divergent, señalan que el atacante puede apalancar este malware para llevar a cabo fraudes mediante clicks.
Algo importante es que ambas empresas coinciden en que el desarrollo de esta herramienta mal intencionada sigue activo.
Esta amenaza es muy interesante no solo porque emplea técnicas avanzadas sin archivos, sino porque también depende de una infraestructura de red evasiva que provoca que el ataque vuele bajo el radar, expresa Microsoft.
Por ahora, Microsoft recomienda no utilizar archivos HTA, utilizados en algunas aplicaciones basadas en HTML para Windows.