Napad na ranjivost u Java malverom koji se sakriva u memoriji

Vesti, 20.03.2012, 09:07 AM

Napad na ranjivost u Java malverom koji se sakriva u memoriji

Drive-by download napadi su jedan od najčešćih načina distribuciije malvera na internetu. U ovim napadima se koriste ranjivosti u neažuriranom softveru a rezultat toga su infekcije računara bez ikakvog učešća korisnika u procesu infekcije.

Istraživači Kaspersky Laboratoriji nedavno su analizirali jedan takav napad na posetioce sajtova ruske novinske agencije RIA Novosti i online izdanja ruskih dnevnih novina Gazeta.

Napadački kod učitava exploit za poznatu ranjivost u Java (CVE-2011-3544). Kod nije hostovan na pogođenim veb sajtovima već se nalazi u banerima third-party reklamnog servisa AdFox.

Ovakav napad možda ne bi privukao veću pažnju da malver koji je deo napada nije zlonamerni program koji se teško otkriva jer ne kreira bilo kakve fajlove na pogođenom sistemu - umesto toga on “živi” samo u memoriji računara.

“Aktivnost ovakvog exploita uključuje spremanje zlonamernog fajla, obično droppera ili downloadera na hard disku,” kaže Sergej Golovanoov iz Kaspersky Laboratorije. “Međutim, u ovom slučaju bili smo iznenađeni: novi fajlovi se nisu pojavili na hard disku.”

Payload Java exploita se sastoji od zlonamernog DLL (dynamic-link library) koji se učitava i dodaje u hodu legitimnom Java procesu. Ovakav tip malvera je redak jer živi sve dok sistem ne bude restartovan a memorija očišćena.

Ono na šta očigledno računaju autori kampanje u okviru koje se distribuira ovaj malver je pretpostavka da će većina posetilaca ponovo posetiti zaražene veb sajtove.

Zlonamerni DLL koji se nalazi u memoriji se ponaša kao bot, šaljući podatke i primajući instrukcije od komandnog i kontrolnog servera preko HTTP. U nekim slučajevima, instrukcije koje dolaze od napadača sa ovog servera odnose se na instalaciju bankarskog Trojanca na zaraženim računarima.

Za sada su ovim malverom pogođeni samo ruski korisnici. Ipak, Golovanov kaže da to ne znači da se isti exploit i isti bot koji ne ostavlja tragove za sobom neće pojaviti bilo gde u svetu s obzirom da se distribuira preko banera i oglasnih mreža.

Najbolji način zaštite od ovakve vrste napada je redovno ažuriranje softvera na računaru a posebno brauzera i njihovih dodataka. U slučaju da je reč o napadima exploita koji pogađaju nepoznate ranjivosti najbolja zaštita je antivirusni program koji skenira veb saobraćaj i ima sposobnost generičke detekcije napadačkog koda.

“Najbolje je zaustaviti infekciju u ranim fazama, zato što kada se jednom ovakav malver bez fajlova učita u memoriju i priključi legitimnom procesu, mnogo ga je teže otkriti antivirusnim programom,” kaže Golovanov.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje