Bestandsloze malware infecteert computergeheugen
Onderzoekers van Kaspersky Lab hebben malware ontdekt die geen besmette bestanden op de harde schijf van de computer plaatst, maar het geheugen infecteert. De malware verspreidde zich via gehackte advertenties en misbruikt een beveiligingslek in Java om de computer te infecteren. Normaliter gebruiken dit soort aanvallen een dropper of downloader op de harde schijf. In het geval van deze malware wordt er een versleuteld DLL-bestand direct in het geheugen van het Java proces geschreven. Eenmaal actief stuurt de malware de surfgeschiedenis alsmede technische informatie over het systeem naar de aanvallers.
"We hebben hier met zeer bijzondere malware te maken, de zogeheten bestandsloze kwaadaardige programma's die niet als bestand op de harde schijf bestaan, maar alleen in het besmette computergeheugen opereren", zegt Sergey Golovanov. "De beste voorbeelden van dit soort dreigingen zijn de CodeRed en Slammer-wormen, die het afgelopen decennium voor grootschalige uitbraken zorgden."
Geheugen
De bot, die zich via het Java-lek in het geheugen nestelt, gebruikt verschillende methoden om de User Account Control functie van Windows uit te schakelen. Hierna kan de bot de Lurk Trojan op de besmette computer installeren. De beslissing om dit te doen, wordt op de server van de cybercriminelen gemaakt. Iets wat volgens Golovanov opmerkelijk is.
Aangezien de exploit en bot geen bestanden van zichzelf op de computer achterlaten, is het veel lastiger voor virusscanners om de aanval te detecteren, stelt Golovanov. "Als de exploit niet wordt gedetecteerd, kan de bot zich succesvol in het geheugen laden en zo bijna onzichtbaar worden." De Lurk Trojan die de bot installeert zou het vooral op inloggegevens voor internetbankieren hebben voorzien. In totaal zouden 300.000 computers met de malware besmet zijn geraakt.
Advertentie
De malware werd op verschillende grote Russische nieuwssites ontdekt. Daar was het verstopt in verschillende advertenties, die via het AdFox advertentieplatform waren getoond. De aanvallers hadden het account van een Adfox-klant gebruikt om de code van de advertenties aan te passen en die naar de kwaadaardige website met Java-exploit te laten wijzen.
"Dit is een unieke aanval, omdat cybercriminelen hun eigen PE bestand-downloader hebben gebruikt die werkt zonder kwaadaardige bestanden op het geïnfecteerde systeem aan te maken, en bijna geheel in het vertrouwde Java-proces draait." Deze aanval richtte zich tegen Russische internetgebruikers, maar Golovanov kan niet uitsluiten dat de criminelen de techniek ook in andere landen zullen toepassen.
Maar voor het volledige verslag verwijs ik je ff door naar het artikel :
https://www.securelist.com/en/blog/687/A_unique_fileless_bot_attacks_news_site_visitors#page_top
Eigenlijk zouden ze door het simpleweg aanpassen van de browser homepage kunnen maken dat hun trojan altijd geladen wordt. En die link natuurlijk door een aantal url shorteners jagen om hem random te maken en na de exploit de browser naar de originele homepage redirecten...
En als een website niet wil werken zonder Java, dan is dat jammer dan.
Beveiliging van je systeem gaat voor.
Haal de stroom van je computer, gooi hem in een 30 meter diepe put en stort die put vol met beton. Als je dan niet meer kan internetten, dan is dat jammer dan.
Beveiliging van je systeem gaat voor.
Wie zet zijn PC nog uit? Vaak krijg je alleen een reboot als je machines crasht. Veel mensen drukken zelfs de maandelijks melding voor een reboot na het updaten weg.
Peter
Wie nog iets af weet van DOS en windows 3.x zal weten dat het hier gaat om bootsectorvirussen die het geheugen van de harde schijf besmetten en niet het RAM geheugen. Bootsectorvirussen bestaan dus al heel lang , maar zijn uitgestorven geweest , maar zijn terug in opkomst .
In een HijackThis loje is het virus te herkennen in deze regel : F3 - REG:win.ini:
En het kan tegenwoordig allemaal niet snel genoeg meer gaan. De computer aanzetten en men moet hem onmiddelijk kunnen gebruiken . Bij aanzetten van mijn computer scant mijn antivirus eerst de bootsector voor windows word opgestart. Ik moet wel een minuutje langer wachten voor ik mijn computer kan gebruiken , maar mijn computer start veilig op.
http://nl.wikipedia.org/wiki/Bootsectorvirus
Wie zet zijn PC nog uit? Vaak krijg je alleen een reboot als je machines crasht. Veel mensen drukken zelfs de maandelijks melding voor een reboot na het updaten weg.
Peter
Inderdaad, wie schakelt nog helemaal zijn computer volledig uit, en zet hem zonder stroom na na het uitschakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
