Miles de ordenadores Windows en todo el mundo han sido infectados con una nueva variedad de malware. Nodersok descarga e instala una copia del marco Node.js que convierte los sistemas infectados en servidores proxy que utilizan para fraudes.
Según informes de Microsoft y Cisco, el malware Nodersok se detectó por primera vez este verano camuflado en anuncios maliciosos que descargaban archivos HTA (aplicación HTML) en los equipos de los usuarios.
Los usuarios que encontraron y ejecutaron estos archivos HTA comenzaron un proceso de infección en varias etapas que involucraba scripts de Excel, JavaScript y PowerShell que eventualmente descargaron e instalaron el malware Nodersok.
Según Microsoft, Nodersok ya ha logrado infectar «miles de máquinas en las últimas semanas», si bien la mayoría de las infecciones se han producido durante este mes de septiembre y han afectado a usuarios de Estados Unidos y Europa.
El malware cuenta con múltiples componentes, cada uno con su propia función. Por ejemplo, hay un módulo PowerShell, que busca deshabilitar Windows Defender y Windows Update. Pero también hay dos componentes que son aplicaciones legales: WinDivert y Node.js. La primera es una aplicación para capturar e interactuar con paquetes de red, mientras que la segunda es una herramienta de desarrollador conocida para ejecutar JavaScript en servidores web.
Una amenaza en desarrollo
Según Microsoft, el malware convierte los hosts infectados en servidores proxy para difundir tráfico malicioso. Sin embargo, el informe de Cisco apunta que estos servidores proxy se utilizan para realizar fraudes cuando los usuarios hacen clic.
Según Microsoft, Defender debería ser capaz de detectar este malware
A esto se le suma un peligro adicional. Como cualquier otra variedad de malware creada con una arquitectura cliente-servidor, los creadores de Nodersok podrían, en cualquier momento, implementar otros módulos para realizar tareas adicionales, o incluso implementar cargas secundarias de malware como ransomware o troyanos bancarios.
Desde Microsoft apuntan que Windows Defender debería ser capaz de detectar este malware. No obstante, y para evitar ser víctima de Nodersok, los expertos aconsejan que los usuarios no ejecuten ningún archivo HTA que encuentren en sus equipos, especialmente si no conocen el origen preciso de los archivos.
Por su parte, desde Cisco señalan que el malware parece estar todavía en desarrollo, pero todo parece apuntar a que los autores detrás de Nodersok buscan monetizar sus infecciones a través del fraude de clics. De confirmarse, esto implicaría que esta amenaza podría permanecer durante mucho tiempo.
Imagen inicial | askin Ashiq