A ser explorada, a Nodersok lança uma sequência complexa de eventos a partir de uma HTA (aplicação de HTML). O JavaScript integrado na HTA descarrega um ficheiro JavaScript independente que corre um comando PowerShell que descarrega vários utilitários, incluindo os que desabilitam o Windows Defender, os que requerem mais controlo, os que captam pacotes de dados e os que criam a proxy para canalizar o tráfego malicioso. A forma de funcionamento deste ataque assemelha-se ao que fazem as botnets para sequestrar PC, lembra o Engadget.
Um fator crítico desta infeção é que assenta em programas legítimos para conseguir o seu propósito, pelo que não há programas de malware copiados para o sistema de armazenamento. Esta característica torna a deteção mais difícil e o trabalho dos investigadores de segurança para conseguir medidas de proteção também mais complexo.
A equipa da Cisco Tales acredita que a Nodersok tenha surgido inicialmente como método para ataques de “click fraud” e que esteja a afetar principalmente consumidores nos EUA e Europa. Nas últimas semanas, milhares de máquinas em todo o mundo terão sido afetadas por este ataque.
