Лаборатория Касперского обнаружила «бестелесного» бота

19.03.2012

Вернуться к списку новостей

Согласно сообщению в официальном блоге «Лаборатории Касперского», специалистам компании удалось зафиксировать уникальную хакерскую атаку на посетителей популярных новостных ресурсов. По данным экспертов, злоумышленники использовали так называемое «бестелесное» вредоносное приложение, которое функционирует исключительно в оперативной памяти и не создает файлы на зараженной системе.

Еще одной особенностью атаки эксперты считают использование тизерной сети в качестве источника инфекции. Отметим, что данные сети созданы при помощи технологий AdFox и используются для размещения баннерной рекламы на различных порталах. Злоумышленники использовали учетную запись одного из клиентов adfox.ru, чтобы внедрить вредоносный код в один из его баннеров.

Таким образом, при посещении web-сайта, отображающего баннер с вредоносным кодом, пользователь незаметно перенаправлялся на вредоносный ресурс, содержащий Java-эксплойт.

«В отличие от стандартных drive-by атак вредоносная программа не загружалась на жесткий диск, а функционировала исключительно в оперативной памяти компьютера, — отмечают в Лаборатории. — Действуя как бот, зловред посылал на сервер злоумышленников запросы и данные об истории посещения сайтов из браузера пользователя».

Если злоумышленникам становилось известно, что атакованная система содержит системы дистанционного банковского обслуживания, на зараженный компьютер устанавливался троянец Lurk. Он предназначен для похищения конфиденциальной информации и учетных данных в системах онлайн-банкинга.

«Несмотря на то, что «бестелесные» программы способны работать только до перезагрузки операционной системы, вероятность того, что пользователь вновь попадет на зараженный новостной сайт, достаточно высока», — заключают специалисты.

Эксперты подчеркивают, что для защиты от данных атак необходимо установить обновление от Oracle , исправляющее уязвимость CVE-2011-3544.

Источник