Byjohanpeterin topicHardware
Kasper investigadores cielo laboratorio investigan un ataque drive-by download de instalación de malware que sólo vive en la memoria de la computadora. Un difíciles de detectar pieza de malware que no crea ningún archivo en los sistemas afectados se dejó caer en las computadoras de los visitantes de los sitios de noticias populares en Rusia en un ataque drive-by download, según los investigadores de seguridad de la firma de antivirus Kasper cielo Lab. Drive-by ataques descargar son uno de los principales métodos de distribución de software malicioso a través de Internet. Por lo general explotan vulnerabilidades en productos de software obsoleto para infectar los ordenadores sin necesidad de interacción del usuario.
Kasper investigadores cielo Lab recientemente investigó ese ataque a los visitantes a www.ria.ru, un sitio web que pertenece a la agencia rusa de noticias RIA Novato, y www.gazeta.ru, un periódico popular en línea en idioma ruso. El código de ataque cargado un exploit para una vulnerabilidad conocida de Java (CVE-2011-3544), pero no estaba alojado en los propios sitios web afectados. En lugar de ello, se servía a sus visitantes a través de banners que se muestran por un servicio de publicidad de terceros llamado Ad Fox. Lo interesante de este ataque en particular es el tipo de malware que se instaló en los casos de explotación exitosa: una que sólo vive en la memoria de la computadora. "El funcionamiento de un exploit involucra guardar un archivo malicioso, por lo general un gotero o descargador, en el disco duro, por ejemplo", dijo Kasper experto cielo Lab Sergey Ir prestó, en un blog el viernes. "Sin embargo, en este caso estábamos en una sorpresa: No hay archivos nuevos aparecieron en el disco duro."
Del Java explotar la carga útil consistía en una DLL rogue (biblioteca dynamic-link) que se cargó y se fija sobre la marcha del proceso de Java legítimo. Este tipo de malware es raro, ya que muere cuando se reinicia el sistema y la memoria se borra. Sin embargo, esto no fue un problema para los ciberdelincuentes detrás de este ataque en particular, debido a la muy alta probabilidad de que la mayoría de las víctimas serían revisar los sitios web de noticias infectadas, dijo Golovanov. La DLL malicioso cargado en la memoria actuó enviando como, pero los datos hacia y recibir instrucciones de un servidor de comando y control a través de HTTP. En algunos casos, las instrucciones dadas por los atacantes iban a instalar un troyano de banca en línea en los ordenadores afectados. "Este ataque dirigido a los usuarios de Rusia. Sin embargo, no podemos descartar que el mismo exploit y el mismo archivo de menos, pero se utilizará en contra de la gente en otras partes del mundo: Se pueden distribuir a través de la bandera similar o redes de reclamo en otros países ", dijo Go prestado.
La mejor protección contra este tipo de ataques es mantener el software instalado en los equipos hasta la fecha, especialmente los navegadores y sus plug-ins. En caso de que explota ese objetivo se utilizan vulnerabilidades previamente desconocidas, lo mejor es contar con un sistema de protección antivirus en ejecución que es capaz de tráfico Web de exploración y detección de código de ataque de forma genérica. Es ideal para detener la infección en sus primeras etapas, porque una vez que este tipo de "presentar menos" malware se carga en la memoria y se une a un proceso de confianza, es mucho más difícil de detectar por los programas antivirus, Ir prestado dijo.
Más información se puede encontrar en línea en: http://www.electrocomputerwarehouse.com
No hay comentarios:
Publicar un comentario
Dejanos tus dudas y comentarios para seguir mejorando.