Nodersok, un nouveau malware indétectable par la plupart des antivirus

Nodersok est un malware qui passe inaperçu par les programmes antivirus et a déjà infecté des milliers d'ordinateurs dans le monde, principalement en Europe et aux Etats-Unis. Les conséquences pourraient être importantes, il est donc préférable de s'y préparer. Lisez ce guide pour en savoir plus.

A propos de Nodersok

Nodersok est un malware qui n'enregistre aucun fichier pour s'attaquer aux ordinateurs Windows. Il a été découvert par l'équipe de Microsoft Defender ATP Research en 2019, et sa détection a été très difficile car le malware utilise le "Living-off-the-land Binaries" (LOLBin) - un binaire présent nativement sur un système d'exploitation, qui est donc jugé légitime, qu'un attaquant exploite pour réaliser une attaque.

Nodersok a déjà réalisé plusieurs attaques contre des particuliers, gouvernements et entreprises entre autres. Jusqu'à présent, la plupart de ses attaques ont été concentrées en Europe et aux Etats-Unis.

Comment Nodersok fonctionne

La particularité de Nodersok est qu'au lieu de s'installer via un fichier malveillant, il utilise les fonctions du système d'exploitation ou d'outils tiers pour s'introduire dans un ordinateur, tout en désactivant les protections antivirus.

Ce malware infecte les ordinateurs par le biais de la publicité en ligne, en utilisant le framework Node.js, un programme qui exécute JavaScript en dehors des navigateurs internet, et WinDivert, un logiciel open source qui permet la capture et le détournement de paquets pour les versions de Windows 2008, 7, 10, et 2016.

Comment Nodersok se propage

Une fois qu'il infecte un ordinateur, le malware commence à parcourir les pages web dans le but de générer une monétisation par de faux clics sur la publicité en ligne. En même temps, il utilise des serveurs proxy pour continuer à se propager vers d'autres ordinateurs.

Comment se protéger de Nodersok

Nodersok a déjà attaqué de nombreux ordinateurs personnels, nous vous recommandons donc de rester vigilant. Microsoft a recommandé d'éviter d'exécuter des fichiers HTA (terminant par l'extension .hta). Il s'agit d'applications HTML qui fonctionnent avec du code HTML, CSS et JavaScript (similaires aux fichiers .exe). Autre conseil, n'enregistrez pas l'historique de vos téléchargements. Dernière chose importante, veuillez à maintenir votre antivirus à jour afin de recevoir les derniers correctifs qui vous aideront à vous protéger contre cette vulnérabilité.

Image: © iStock.

Cet article est régulièrement mis à jour par des experts sous la
direction de Jean-François Pillou, fondateur de CommentCaMarche.
A voir également
Ce document intitulé « Nodersok, un nouveau malware indétectable par la plupart des antivirus » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.