Het nieuwe beveiligingslek in Internet Explorer dat dit weekend werd ontdekt en waarvoor nog geen update beschikbaar is, wordt gebruikt om malware alleen in het geheugen van aangevallen computers te verstoppen. Doordat de malware niet naar de harde schijf wordt geschreven is het lastiger te detecteren.
Dat meldt het Amerikaanse beveiligingsbedrijf FireEye, dat de nieuwe zero-day-aanval ontdekte. De kwetsbaarheid is aanwezig in IE7, IE8, IE9 en IE10. Het bezoeken van een gehackte of kwaadaardige website is voldoende om besmet te raken. De exploit zou echter op één "strategisch belangrijke website" zijn geplaatst en had als doelwit mensen en organisaties die in nationaal en internationaal veiligheidsbeleid zijn geïnteresseerd.
Is de aanval via het IE-lek succesvol, dan wordt de malware direct naar het geheugen toe geschreven, in plaats van naar de harde schijf, zoals meestal het geval is. "Een techniek die niet vaak door advanced persistent threat (APT) actoren wordt toegepast", zegt analist Ned Moran. Deze techniek maakt het volgens Moran lastiger om geïnfecteerde computers te onderzoeken, omdat er nauwelijks sporen achterblijven om een infectie te identificeren.
Het heeft echter ook gevolgen voor de aanvallers, omdat een reboot van de computer inhoudt dat ze de controle erover verliezen. "Het feit dat de aanvallers niet-persistente malware gebruiken suggereert dat ze vertrouwen in zowel hun middelen als vaardigheden hebben", gaat Moran verder. Hij merkt op dat de aanvallers snel moeten handelen om zich door het netwerk van geïnfecteerde organisaties te begeven.
Een reboot zou namelijk het Trojaanse paard uit het geheugen van de computer verwijderen. "Het gebruik van deze niet-persistente malware kan er ook op duiden dat de aanvallers ervan uitgaan dat hun doelwitten de gehackte website opnieuw bezoeken en zo weer besmet zullen raken", stelt de analist.
Eén van de domeinnamen waarmee de malware communiceert werd in september van dit jaar ook gebruikt bij een zero-day-aanval op Japanse internetgebruikers. In de malware zelf ontdekten de analisten een string die ook werd ontdekt bij de malware die tegen beveiligingsbedrijf Bit9 en Google werd ingezet. Wie er achter de malware zit laat FireEye niet weten. Microsoft heeft nog altijd geen waarschuwing voor het nieuwe IE-lek afgegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.