Експертите на Microsoft и Cisco Talos откриха нова версия на опасния компютърен вирус Nodersok (в отчета на Microsoft) или Divergent (в отчета на Cisco Talos). Новият вредоносен софтуер използва легитимни уеб приложения за превръщане на компютърната система в прокси сървър, през който преминава незаконен интернет трафик – търговия с наркотици и опиати, детско порно и т.н.

Най-често чрез мошеническа реклама, електронна поща или друг начин в компютъра на жертвата се стартира HTA файл (HTML приложение), което разгръща сложна поредица от събития. JavaScript кодът в HTA файла изтегля друг JavaScript файл, който от своя страна стартира PowerShell, а той изтегля и стартира редица софтуерни модули, които изключват Windows Defender, искат и получават допълнителни права за достъп и накрая започват да прихващат мрежовите пакети и създават прокси сървър.

Коварното е, че заразяването на Windows системата става с помощта на легитимни програми, независимо дали са вградени от операционната система или са на външен разработчик. В постоянната памет на атакуваното устройство не се записват каквито и да било вредоносни програми. Този подход силно усложнява работата на експертите по информационна безопасност.

Изглежда, че вредоносната програма е създадена от обикновени престъпници, а не от специалните служби на някоя държава. Cisco съобщи, че повечето от атаките са засегнали обикновените потребители от Европа и САЩ, а не корпоративните системи или държавните служители.