Investigadores de Microsfot y Cisco Talos han identificado un nuevo malware llamado Nodersok (o Divergent), el cual utiliza aplicaciones web para convertir los sistemas en vehículos para dirigir tráfico web malicioso.

El ataque hace que las víctimas corran una archivo HTA (aplicación HTML) a través de un anuncio o descarga, lanzando una compleja secuencia de eventos. El JavaScript en el HTA descarga un archivo separado que corre un comando PowerShell que descarga y corre también una gran cantidad de herramientas de huéspedes, incluyendo algunas que desactivan Windows Defender, solicitan más control, y capturan paquetes de datos, con lo que se apoderan totalmente del dispositivo.

La infección depende de programas legítimos para cumplir su objetivo, ya sean para Windows o de terceros. Debido a que no hay programas de malware copiados en el almacenamiento, esto dificulta que los equipos de seguridad puedan investigar en el código y tomar medidas.

Lee también: Aplicaciones infectadas con malware y descargadas millones de veces son retiradas de Google Play

El origen de Nodersok todavía no se ha identificado. Cisco cree que fue creado para fraudes de clicks, o sea, generar clicks automáticos para obtener más ganancias de los anuncios. Las víctimas están siendo consumidores normales de Estados Unidos y Europa.

Según Microsoft, el malware ya ha atacado a miles de máquinas, y más podrían resultar víctimas en el futuro cercano.

Fuente: Engadget