Por mucho que las defensas contra el malware mejoren, siempre hay que tener en mente que los actores maliciosos pueden estar un paso por delante. Eso es lo que está ocurriendo contra Windows Defender, que en los últimos tiempos, según Cisco y Microsoft, no está consiguiendo detectar un malware activo y que está infectando a miles de computadoras en Estados Unidos y Europa.
El malware que ha conseguido pasar inadvertido ante Windows Defender ha recibido el nombre de Nodersok por parte del gigante de Redmond y Divergent por parte de Cisco. Básicamente, se dedica a convertir la computadora Windows infectada en un proxy para facilitar su propagación utilizando el framework Node.js y WinDivert, que es un paquete en modo usuario de captura y desvío de paquetes disponible para Windows 7, 10, 2008 y 2016.
Nodersok/Divergent está diseñado para ir principalmente contra redes corporativas y su mecanismo se acciona aparentemente al provocar clics fraudulentos por parte de usuarios incautos, siendo a nivel de características parecido a otros malware como Kovter. Si bien teóricamente tendría que ser detectado por Windows Defender, el proceso se vuelve complicado debido a que el malware utiliza técnicas avanzas sin archivos y se basa en una arquitectura de red evasiva que hace que el ataque pase inadvertido ante las defensas de Windows Defender.
Microsoft ha recomendado a sus usuarios que eviten ejecutar aplicaciones HTML (HTA) que se hallen en los sistemas Windows de las empresas y que estén atentos a los ficheros no reconocidos, obviamente sin ejecutar ninguno de ellos para evitar la infección.
Si bien Windows Defender ha cosechado muchos elogios en los últimos tiempos, también es cierto que últimamente se le han encontrado algunos fallos derivados de las actualizaciones de Windows 10, cuyo modelo de detección de errores podría ser deficiente. Veremos si Microsoft es capaz de introducir los ajustes necesarios en su antimalware para que pueda combatir Nodersok/Divergent eficazmente.
Fuente: muycomputer