自從今年 7 月 Astaroth Fileless 無檔案攻擊行動被公開後，Microsoft 日前再披露了新一波的 Nodersok 無檔案攻擊，駭客同樣利用合法工具展開攻擊，目的是將受害系統變成代理人以執行點擊詐騙，估計全球已有數千台 Windows 電腦遭到惡意軟件攻擊。

在 Microsoft 的報告中，將這種惡意軟件稱為「Nodersok」，在 Cisco 的報告中，將其稱為「Divergent」，「Nodersok」惡意軟件最初在今年夏天被發現，它通過惡意廣告進行分發，強制將 HTA(HTML應用程序) 文件下載到用​​戶的電腦上，一旦運行了這個軟件，用戶的電腦就會進行一個涉及 Excel、JavaScript 及 PowerShell 腳本的多階段感染過程，該進程最終下載並安裝  Nodersok 惡意軟件。

惡意軟件本身具有多個組件，每個組件都有其自己的角色。有一個 PowerShell 模組試圖禁用 Windows Defender 及 Windows Update，還有一個用於將惡意軟件的權限提升到 SYSTEM 級別的組件。

但其中也有兩個被認為是合法的應用組件，即 WinDivert 及 Node.js。第一個是用於捕獲網絡數據包並與之交互的應用程式，第二個是用於在 Web 伺服器上運行 JavaScript 的著名開發人員工具。根據 Microsoft 及 Cisco 的報告，該惡意軟件使用這兩個合法應用組件在受感染的主機上啟動 SOCKS 代理。但是，這裡有一個分歧，Microsoft 聲稱該惡意軟件將受感染的主機轉變為代理，以中繼惡意流量。Cisco 表示，這些代理用於執行點擊欺詐。

為了防止被感染，建議大家不要運行在電腦上找到的任何 HTA 文件，尤其是在不知道文件確切來源的情況下。根據 Microsoft 的遙測技術，Nodersok 已經在過去幾週成功感染了數千台機器。Microsoft 表示，大多數感染於本月發生，主要在美國和歐盟地區傳播。