Phần mềm này chưa từng được phát hiện bởi vì, thứ nhất, đó là phần mềm độc hại dùng mã tiên tiến và thứ hai, nó chỉ sử dụng các tiện ích hệ thống tích hợp hợp pháp và các công cụ của bên thứ ba để mở rộng chức năng và thỏa hiệp máy tính, thay vì sử dụng các đoạn mã độc hại như những phần mềm độc hại khác.

Được phát hiện độc lập bởi các nhà nghiên cứu an ninh mạng tại Microsoft và Cisco Talos, phần mềm độc hại được đặt tên là "Nodersok" - chủ yếu được phân phối thông qua các quảng cáo trực tuyến độc hại và lây nhiễm cho người dùng qua việc tải tập tin vào máy.

Khi một máy bị nhiễm, kẻ tấn công có thể sử dụng nó như một phương tiện để truy cập các thực thể mạng khác (trang web, máy chủ, các máy tính khác…), có thể cho phép chúng thực hiện các hoạt động độc hại lén lút.

Theo Microsoft, phần mềm độc hại Nodersok đã lây nhiễm hàng ngàn máy trong vài tuần qua, với hầu hết các mục tiêu ban đầu ở Hoa Kỳ, Châu Âu và hiện đang lây lan mạnh trên toàn cầu.

Mặc dù phần mềm độc hại chủ yếu tập trung vào nhắm mục tiêu người dùng gia đình Windows, các nhà nghiên cứu đã thấy khoảng 3% các cuộc tấn công nhắm vào tổ chức từ các ngành công nghiệp, bao gồm giáo dục, y tế, tài chính, kinh doanh và dịch vụ chuyên nghiệp.

Microsoft cho biết, lớp bảo vệ thế hệ tiếp theo ATP của Windows Defender của họ có thể phát hiện các cuộc tấn công từ phần mềm độc này, mặc dù ở mỗi giai đoạn lây nhiễm nó cũng chỉ nhận diện được các hành vi bất thường và độc hại, chẳng hạn như thực thi các tập lệnh và công cụ.