Microsoft et Cisco ont identifié un nouveau genre d’application malveillante, autre que les « botnets » habituels. Cette dernière s’appelle Nodersok et se répand en utilisant les applications web. Pour naviguer sur la toile rapidement, l’application va obliger les utilisateurs à cliquer sur une fausse annonce ou publication, qui cache, en fait, un fichier HTA. Ce dernier va lancer une série d’événements sous JavaScript qui va à son tour exécuter une commande PowerShell. Celle-ci va créer automatiquement des proxys et exécuter plusieurs outils malveillants, dont un capable de désactiver Windows Defender. Contrairement aux méthodes classiques utilisées par les pirates, cette façon de procéder adoptée par Nodersok empêche les techniciens de trouver le code et d’adopter les mesures efficaces.
Nodersok ne semble pas être un malware qui vise les gouvernements. Apparemment, il s’apparente à une fraude au clic qui consiste à générer automatiquement des actions sur des annonces publicitaires dans le but de faire augmenter les revenus d’un site web. Ainsi, les principales cibles, qui se comptent actuellement en plusieurs milliers, se trouvent surtout en Europe et aux États-Unis. Suite à cette annonce, Microsoft et Cisco ont réitéré leur capacité à résorber les problèmes causés par de tels systèmes malveillants.