Uma nova forma de malware afetou milhares de computadores com Windows nos Estados Unidos e na Europa nas últimas semanas, recorrendo a programas legítimos de outros dispositivos. A informação sobre estes "zombie proxies" foi noticiada pela Microsoft, com a Cisco também a reportar este problema, ainda que de forma diferente.

De acordo com os dados divulgados pela Microsoft, Portugal não consta nos países mais afetados. Os Estados Unidos sofreram mais de metade destes ataques, seguidos do Reino Unido e da Alemanha. Os outros países referenciados foram a Itália, França e Suécia. Os restantes 2% de países afetados não são diferenciados.

Investigação Microsoft sobre o Nodersok
Principais países e áreas afetadas pelo Nodersok nas últimas semanas

As duas empresas atribuem nomes diferentes a este malware. Enquanto a tecnológica de Redmond designa este ataque informático "Nordesk", a Cisco opta por apelidar de "Divergent". Apesar das duas designações, os ataques têm o mesmo objetivo: levar os utilizadores a fazer download e executarem uma aplicação HMTL através de anúncios maliciosos.

Ataques de malware e phishing aumentam em 64%. Europa, Médio Oriente e África são os mais afetados
Ataques de malware e phishing aumentam em 64%. Europa, Médio Oriente e África são os mais afetados
Ver artigo

Esta estratégia permite deixar poucos "rastos" no processo dos hackers, visto que recorre a programas existentes ou faz download de ferramentas legítimas como o NodeJS, uma app que executa Javascript fora de um separador da web e o WinDivert, usado para capturar e desviar pacotes de rede.

"Todas as funcionalidades relevantes residem em scripts e códigos maliciosos quase sempre criptografados e depois descriptografados e executados apenas na memória", lê-se na publicação da Microsoft, que esclarece que nenhum malware executado é gravado no disco. Daí os especialistas em cibersegurança designarem estes ataques por malware fileless (sem arquivo).

No entanto, é depois de o malware "invadir" o Windows Defender que a Microsoft e a Cisco discordam. A empresa fundada por Bill Gates acredita que os hackers utilizam o proxy para aceder a outras redes e apostar em "atividades maliciosas". Já a equipa da Cisco Talos Intelligence Group defende que o malware partilha várias características com outros vírus projetados para realizar fraudes através de um clique.

De qualquer forma, a Microsoft afirma que estes ataques afetaram milhares de computadores durante as últimas semanas, com a maioria dos ataques realizados em setembro direcionados para consumidores. Ambas as empresas garantiram que o seu software antivírus foi atualizado para detetar esse malware no futuro, que a Microsoft diz ter tomado conhecimento em julho deste ano.

Investigação da Microsoft sobre o Nordesk
Ataques do Nordesk em setembro de 2019
As ameaças aumentam mas líderes das organizações dedicam menos de 1 dia por ano aos ciberriscos
As ameaças aumentam mas líderes das organizações dedicam menos de 1 dia por ano aos ciberriscos
Ver artigo

A informação é divulgada depois de recentemente a Agência de Cibersegurança e Infraestrutura do Departamento de Segurança Interna dos Estados Unidos ter alertado a Microsoft para um outro tipo de malware. A vulnerabilidade conhecida como BlueKeep que afetava versões mais antigas do Windows. Em maio, a gigante tecnológica garantiu que o problema foi resolvido.