El Observatorio de Amenazas de Widefense detectó a principios de octubre, un nuevo malware bautizado como Nodersok por Windows y Divergent, en Cisco. El mismo infectó a cientos de personas en Estados Unidos y Europa; sin embargo, dada su naturaleza, los expertos advierten que podría extenderse con rapidez al resto el mundo, siendo muy difícil de detectar por los antivirus tradicionales.
¿Qué hace?
Nodersok trabaja con varios pasos en su infección, desactivando Windows Defender y Windows Update para ejecutarse. Luego, utiliza el equipo infectado como proxy para tráfico malicioso o falsificar clics.
¿Cómo opera?
Nodersok toma control utilizando un proceso que involucra Excel, JavaScript y scripts de PowerShell, por medio de dos aplicaciones legítimas: WinDivert y Node.js a traves del uso de técnicas persistencia mas comúnmente asociadas con malware “fileless” dejando atrás pocos artefactos para que los investigadores los observen
¿Cómo prevenirlo?
Para prevenir infecciones, es importante comunicar a los usuarios que no ejecuten archivos con extensiones .HTA y bloquear la ejecución de archivos con esta extensión, ya que éstas contienen código de JScript y esta es la principal forma que utiliza el Malware para propagarse.
Así también es recomendable bloquear la ejecución de scripts en las máquinas de la empresa.
Como Widefense, y para clientes administrados, se ha procedido a bloquear los IOC a nivel de antivirus, filtro de correo y proxy.
Widefense además recomienda:
- Utilizar antivirus de nueva generación
El constante cambio, creación y mutación de amenazas hace necesario asegurar que sus equipos se encuentren protegidos y preparados ante amenazas de día cero. Recomendamos probar herramientas de protección endpoint como Cylance para la protección de sus dispositivos, el que es capaz de proteger el equipo aun cuando este no se encuentre conectado a la red.
- Asegurar su cobertura
Es importante que todos los equipos se encuentren protegidos y en su política correspondiente. Asegúrese de contar con políticas de revisión constante del estado de sus dispositivos o un sistema de monitoreo en línea.
- Usar herramientas de colaboración y asistencia
Enfóquese en que la empresa opere con herramientas de asistencia remota válidas y corporativas.
- Bloquear los IOC
Para nuestros clientes administrados se ha realizado la carga de los IOC en las respectivas plataformas de seguridad. Se recomienda realizar el bloqueo de los IOC para los clientes no administrados.
Fuentes:
