Kaspersky Lab ha alertado de un nuevo ataque drive-by download que inyecta un tipo de malware cuya particularidad radica en su tecnica de entrada ya que no deja rastro en el disco duro instalándose en la memoria RAM de los ordenadores.
Este malware ha aparecido en portales legítimos de noticias rusos ria.ru y gazeta.ru, aunque a estas horas puede estar ya en cualquier sitio. El método de ataque es el conocido Drive-by-Download o infección masiva a través de sitios web que aprovecha vulnerabilidades de los mismos (en este caso Java-CVE-2011-3544) para inyectar código malicioso entre su código original.
El exploit no se aloja en los sitios web afectados distribuyéndose a través de los visitantes de los sitios mediante banners de servicios de publicidad AdFox.
Al igual que una infección normal, el malware intenta apoderarse de todos los privilegios en las máquinas infectadas con el objetivo final de conseguir principalmente las contraseñas de banca en línea.
Sin embargo, en este caso, no instala malware en el disco duro. En su lugar, inyecta una dll cifrada directamente en memoria en el proceso javaw.exe. Obviamente se descarga en el reinicio o apagado del equipo pero ya es tarde ya que deja instalado el troyano Trojan-Spy.Win32.Lurk conectado a redes de bots.
Este tipo de malware basado en memoria RAM es extremadamente difícil de detectar y afecta a todos los sistemas operativos. Además de una solución de seguridad lo mejor es prevención anterior usando software actualizado que resuelva las vulnerabilidades que utilizan, en especial navegadores y complementos instalados.
Noticia en: Muy Seguridad
Fuente: A unique ‘fileless’ bot attacks news site visitors - Securelist
Este malware ha aparecido en portales legítimos de noticias rusos ria.ru y gazeta.ru, aunque a estas horas puede estar ya en cualquier sitio. El método de ataque es el conocido Drive-by-Download o infección masiva a través de sitios web que aprovecha vulnerabilidades de los mismos (en este caso Java-CVE-2011-3544) para inyectar código malicioso entre su código original.
El exploit no se aloja en los sitios web afectados distribuyéndose a través de los visitantes de los sitios mediante banners de servicios de publicidad AdFox.
Al igual que una infección normal, el malware intenta apoderarse de todos los privilegios en las máquinas infectadas con el objetivo final de conseguir principalmente las contraseñas de banca en línea.
Sin embargo, en este caso, no instala malware en el disco duro. En su lugar, inyecta una dll cifrada directamente en memoria en el proceso javaw.exe. Obviamente se descarga en el reinicio o apagado del equipo pero ya es tarde ya que deja instalado el troyano Trojan-Spy.Win32.Lurk conectado a redes de bots.
Este tipo de malware basado en memoria RAM es extremadamente difícil de detectar y afecta a todos los sistemas operativos. Además de una solución de seguridad lo mejor es prevención anterior usando software actualizado que resuelva las vulnerabilidades que utilizan, en especial navegadores y complementos instalados.
Noticia en: Muy Seguridad
Fuente: A unique ‘fileless’ bot attacks news site visitors - Securelist
