Nodersok, es un virus fileless, es decir que no reside en el computador como un archivo y que usa técnicas de sobre vivencia en la maquina que le permiten ejecutarse al cargarse directamente en la memoria. La llegada a un huésped (computador o móvil) puede hacerla a través de una descarga que realice otra aplicación (o script) o a través de un sitio malicioso que lo instale en la memoria desde el navegador web. También es posible que llegue a través de un correo electrónico tipo spam o simulando ser un correo importante con un adjunto que requiere su revisión urgente.
Este tipo de amenazas, usa las herramientas del mismo sistema operativo (denominadas LOLBin) para persistir, moverse lateralmente y servir a otros propósitos. Hasta este momento, los antivirus han podido controlar estos ataques vigilando las herramientas del sistema que son usadas comúnmente por este tipo de amenazas. Sin embargo, Nodersok es diferente.
Esta nueva amenaza, trae sus propios sistemas integradores:
- Node.exe: es un sistema popular de ejecución de scripts de javascript (Node.js framework) que es usado por incontables aplicaciones web.
- WinDivert: es una aplicación de captura y manipulación de paquetes de red.
Como cualquier otro LOLBin, estas herramientas no son maliciosas o vulnerables, pero si permiten a los sistemas de malware acceder a importantes capacidades que legitiman su uso sin que el antivirus pueda identificarlos en primera instancia.
¿Qué hace este virus?
Una vez la maquina ha sido infectada con Nodersok, se empieza a comportar como un proxy-zombie, permitiendo la ejecución de sitios infectados, publicándolos al internet o permitiendo que hackers tengan acceso a recursos tipo servidor para realizar otro tipo de actividades.
Es común que este tipo de infecciones funcione como plataforma para amenazas de tipo phishing, para hospedar ejecutables de malware que luego serán descargados a otros dispositivos o para socavar los recursos de la maquina usándolas como esclavas en tareas de hosting de aplicaciones o de minería de criptomonedas.
¿Mi información corre peligro con Nodersok?
Hasta el momento las variantes conocidas de este malware no representan un riesgo para la información del huésped. Su intención es aprovechar los recursos de la maquina, habilitar sitios de almacenamiento y ejecución de software remoto y permitir a hackers actuar desde diferentes direcciones de forma no rastreable, por lo tanto, entre más tiempo el virus pase desapercibido mejor. Sin embargo, no es cómodo para nadie hospedar este tipo de amenazas.
¿Cómo puedo evitar la infección?
Existen varias formas de infección, te podemos sugerir las siguientes acciones para evitar que esto te suceda o para evitar que el virus se propague.
- Utiliza un antivirus con licencia y actualizado, habilita los módulos de detección por comportamiento, si tu antivirus tiene detección por IA (inteligencia artificial) habilita este módulo también. De esta manera si la firma del virus no es conocida, el antivirus lo detectará por la forma como se comporta y evitará su ejecución. Nuestros clientes con G Data Antivirus y G Data for Endpoint cuentan con ambos módulos.
- Si posees un UTM (fortigate, sophos, paloalto, etc.), actualiza las librerías de protección y agrega las direcciones conocidas de descarga del malware para que este sea bloqueado.
- Si recibes un correo electrónico con un archivo adjunto con un mensaje de urgencia, asegúrate de revisar que sea real y que el remitente si sea alguien de confianza.
- Evita descargar o abrir archivos con extensión «HTA». Si tu sistema de correo tiene protección a nivel de archivo, bloquea los adjuntos con esta extensión.
¿Soy cliente de Itteractivo, que debo hacer?
Tenemos las herramientas y las soluciones que se adecuan a tu infraestructura listos para proteger tu sistema y tus datos.
Si cuentas con un contrato de atención proactiva de soporte y seguridad, estaremos realizando los cambios necesarios en la consola del antivirus (G Data), en el UTM (Fortigate o Sophos) y la configuración de seguridad del correo electrónico (G Suite y Office 365).
Si tienes paquetes de horas de soporte disponibles con nosotros, puedes realizar un requerimiento para atender esta eventualidad. Las horas serán restadas de tu paquete de servicio con el informe correspondiente.
Si no tienes contrato ni paquete de horas disponible, puedes solicitar el servicio por demanda o adquirir un paquete de horas para atender esta eventualidad.
