Unikatowy szkodliwy program atakuje osoby odwiedzające popularne rosyjskie portale informacyjne
System proponujący przeczytanie najgorętszych wiadomości pojawiających się w internecie został wykorzystany do przeprowadzenia unikatowego ataku przy użyciu szkodliwego oprogramowania, w którym cyberprzestępcy wykorzystali kod działający bez tworzenia plików w infekowanym systemie.
Dochodzenie przeprowadzone przez Kaspersky Lab wykazało, że rosyjskie portale informacyjne wykorzystujące na swoich stronach system AdFox, zachęcający do przeczytania najpopularniejszych wiadomości, w sposób niezamierzony infekowały odwiedzających je użytkowników. Podczas pobierania skrótu wiadomości przeglądarka użytkownika była ukradkowo przekierowywana na stronę zawierającą szkodliwy kod wykorzystujący lukę w zabezpieczeniach Javy. Jednak w przeciwieństwie do standardowych ataków typu "drive-by" (przeprowadzanych podczas przeglądania stron WWW), szkodliwy program nie był ładowany na dysk twardy, ale pojawiał się tylko w pamięci operacyjnej komputera, co znacznie komplikowało wykrywanie go przez rozwiązania antywirusowe.
Działanie szkodliwego programu polegało na wysyłaniu do cyberprzestępców informacji dotyczących historii przeglądania stron przez użytkownika. Jeżeli dane te zawierały jakąkolwiek oznakę korzystania z usług bankowości elektronicznej, cyberprzestępcy natychmiast instalowali trojana bankowego Lurk, stworzonego w celu kradzieży poufnych informacji użytkownika niezbędnych do uzyskania dostępu do systemów bankowości online wielu głównych rosyjskich banków.
Dochodzenie wykazało jednak, że sama sieć AdFox nie stanowiła źródła infekcji. Banery informacyjne zostały zmodyfikowane poprzez dodanie odsyłaczy do szkodliwej strony internetowej za pośrednictwem zhakowanego konta należącego do jednego z klientów AdFox. Zmodyfikowanie kodu w systemie wyświetlającym propozycje najświeższych wiadomości pozwoliło cyberprzestępcom zaatakować przy pomocy tego samego mechanizmu nie tylko osoby odwiedzające daną stronę informacyjną, ale również inne zasoby. W efekcie, zaatakowane mogły zostać dziesiątki tysięcy potencjalnych ofiar.
"W tym przypadku mamy do czynienia z unikatowym atakiem. Wykorzystany przez cyberprzestępców system wyświetlający propozycje atrakcyjnych wiadomości stanowi jeden z najskuteczniejszych sposobów na zainfekowanie użytkowników, ponieważ odsyłacze do niego zawierają wiele popularnych zasobów" – powiedział Aleksander Gostiew, główny ekspert ds. bezpieczeństwa z firmy Kaspersky Lab. "Ponadto, po raz pierwszy w ciągu ostatnich lat trafiliśmy na rzadki rodzaj szkodliwego oprogramowania – tzw. szkodnika ‘bez ciała’, który nie istnieje jako plik na dysku, ale pojawia się wyłącznie w pamięci operacyjnej zainfekowanej maszyny, znacznie utrudniając wykrycie zagrożenia. Celem ataku byli rosyjscy użytkownicy, jednak warto podkreślić, że ten sam mechanizm może zostać wykorzystany do atakowania użytkowników w innych państwach".
Mimo że szkodliwe programy, które nie posiadają żadnego pliku na dysku zainfekowanego komputera, mogą działać tylko do powtórnego uruchomienia systemu operacyjnego, istnieje możliwość, że użytkownik ponownie odwiedzi zainfekowany portal informacyjny. Dlatego bardzo ważne jest instalowanie na bieżąco wszystkich uaktualnień dla systemu operacyjnego i działających w nim aplikacji.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.