Onderzoekers van Kaspersky Lab hebben malware ontdekt die geen besmette bestanden op de harde schijf van de computer plaatst, maar het geheugen infecteert. De malware verspreidde zich via gehackte advertenties en misbruikt een beveiligingslek in Java om de computer te infecteren. Normaliter gebruiken dit soort aanvallen een dropper of downloader op de harde schijf. In het geval van deze malware wordt er een versleuteld DLL-bestand direct in het geheugen van het Java proces geschreven. Eenmaal actief stuurt de malware de surfgeschiedenis alsmede technische informatie over het systeem naar de aanvallers.
"We hebben hier met zeer bijzondere malware te maken, de zogeheten bestandsloze kwaadaardige programma's die niet als bestand op de harde schijf bestaan, maar alleen in het besmette computergeheugen opereren", zegt Sergey Golovanov. "De beste voorbeelden van dit soort dreigingen zijn de CodeRed en Slammer-wormen, die het afgelopen decennium voor grootschalige uitbraken zorgden."
Geheugen
De bot, die zich via het Java-lek in het geheugen nestelt, gebruikt verschillende methoden om de User Account Control functie van Windows uit te schakelen. Hierna kan de bot de Lurk Trojan op de besmette computer installeren. De beslissing om dit te doen, wordt op de server van de cybercriminelen gemaakt. Iets wat volgens Golovanov opmerkelijk is.
Aangezien de exploit en bot geen bestanden van zichzelf op de computer achterlaten, is het veel lastiger voor virusscanners om de aanval te detecteren, stelt Golovanov. "Als de exploit niet wordt gedetecteerd, kan de bot zich succesvol in het geheugen laden en zo bijna onzichtbaar worden." De Lurk Trojan die de bot installeert zou het vooral op inloggegevens voor internetbankieren hebben voorzien. In totaal zouden 300.000 computers met de malware besmet zijn geraakt.
Advertentie
De malware werd op verschillende grote Russische nieuwssites ontdekt. Daar was het verstopt in verschillende advertenties, die via het AdFox advertentieplatform waren getoond. De aanvallers hadden het account van een Adfox-klant gebruikt om de code van de advertenties aan te passen en die naar de kwaadaardige website met Java-exploit te laten wijzen.
"Dit is een unieke aanval, omdat cybercriminelen hun eigen PE bestand-downloader hebben gebruikt die werkt zonder kwaadaardige bestanden op het geïnfecteerde systeem aan te maken, en bijna geheel in het vertrouwde Java-proces draait." Deze aanval richtte zich tegen Russische internetgebruikers, maar Golovanov kan niet uitsluiten dat de criminelen de techniek ook in andere landen zullen toepassen.
Deze posting is gelocked. Reageren is niet meer mogelijk.