Microsoft e il team Talos di Cisco annunciano di aver scovato nuove minacce che interessano l’ambito PC: battezzate Nodersok e Divergent, hanno già colpito migliaia di computer in Europa e negli Stati Uniti, secondo le segnalazioni raccolte a partire dalla scorsa settimana. Ciò che fanno è trasformare le macchine in quelli che vengono definiti “zombie proxy” per poi sfruttarle al fine di condurre attività malevole (anche infettando altri sistemi) oppure per effettuare click fasulli sui network di advertising, così da generare in modo illecito un volume non indifferente di introiti pubblicitari.
Nodersok e Divergent: nuovi malware per PC
Il contagio avviene spingendo in un primo momento l’utente al download di una Web App, il più delle volte attraverso inserzioni e banner realizzati ad hoc incontrati durante la normale navigazione. Viene così attivato lo scaricamento di tool come NodeJS senza destare particolari sospetti nel sistema, eseguendo codice Javascript al di fuori del browser e facendo leva su WinDivert, un processo di sistema dedicato alla gestione dei dati provenienti da e destinati ai network. Al momento non è possibile stabilire chi ci sia dietro l’operazione.
Gli esperti di cybersecurity definisco l’attacco di tipo “fileless” poiché avviene senza che alcun eseguibile sia salvato all’interno del disco fisso, risultando dunque più difficile da intercettare. Si parla inoltre della capacità di disabilitare Windows Defender in modo da rendere l’azione del malware invisibile ai radar del sistema di protezione. Il gruppo di Redmond afferma che per mettersi al riparo dalle malefatte di Nodersok e Divergent è sufficiente mantenere aggiornato il proprio sistema operativo e il software antivirus utilizzato.