Onderzoekers van Kaspersky Labs hebben een nieuw type malware ontdekt dat websitegebruikers besmet zonder bestanden te installeren.
Kaspersky kwam de besmetting op het spoor nadat een groot aantal bezoekers van enkele populaire Russische nieuwssites besmet werden door hetzelfde type malware. Ze konden echter niet ontdekken hoe de besmetting plaatsvond omdat de boosdoener geen sporen achterliet op de harde schijf. Bij reguliere besmettingen wordt altijd malware geïnstalleerd (Trojaans paard, rootkit), maar de Russische beveiliger stond in dit geval met lege handen.
De onderzoekers dokterden uit dat alle nieuwssites aangesloten waren bij hetzelfde netwerk, waarvan een van de banners was uitgerust met een besmet JS-script. Door gebruik te maken van een nog onbekend gat in Oracles Java-software, kreeg de aanvaller toegang tot de pc en injecteerde vervolgens een versleuteld dll-bestand rechtstreeks in het RAM-geheugen van het Java-systeemproces. Vervolgens legt het ‘spook’ contact met een botnet, dat vaak wordt gebruikt om spamaanvallen of vernietigende Denial of Service-websiteaanvallen uit te voeren.
Sluwe vos Antivirusspecialist Eddy Willems van G-Data benadrukt hoe ‘sluw’ een dergelijke ‘bestandsloze’ malware is, omdat de actieve scanner van de meeste antivirusproducten alleen bestandswijzigingen in de gaten houdt. Pas als een gebruiker een handmatige scan uitvoert die ook het RAM-geheugen doorlicht, wordt de verstekeling opgemerkt. Maar veel mensen gebruiken die functie zelden tot nooit.
De laatste keer dat Willems dit type tegenkwam, was ten tijde van de massale uitbraak van de beruchte SQL Slammer, nu zo’n tien jaar geleden. “De Slammer-worm nestelde zich ook in het RAM-geheugen maar deze nieuwe besmetting gebruikt encryptie, waardoor die nog moeilijker wordt om op te merken”, aldus Willems.
Slammer-worm herleeft Net als destijds bij de Slammer-worm is een herstart van de computer voldoende om het spook af te schudden omdat het vluchtige RAM-geheugen van een pc dan wordt schoongeveegd. Maar omdat weinig mensen hun pc regelmatig herstarten en een grote groep Windows-gebruikers verzuimt de nieuwste versie van hun Java-software te installeren, kan een dergelijke aanval over een langere periode succes hebben. En zelfs als de RAM-malware wordt verwijderd, is de kans op besmetting levensgroot bij het volgende bezoek aan de favoriete nieuwssite. Kaspersky stelde het netwerk op de hoogte maar het is niet bekend hoeveel mensen slachtoffer zijn geworden van de insluiper.
“Als dit soort malware gemeengoed wordt, zullen we maatregelen moeten nemen”, aldus Willems. Hij vult wel aan dat veel moderne antivirussoftware onder meer een geheugenscan uitvoert als de pc in slaapstand schiet, waardoor de kans op detectie een stuk groter wordt.
Bron: ZNet