Praga não se aloja no disco, apenas na memória RAM. (Foto: Marin Myftiu / SXC)

Um novo malware que explora uma falha no Java e se instala na memória foi descoberto pela Kaspersky Lab. O vírus é disseminado através de uma técnica chamada drive-by-download, onde o usuário não precisa fazer nada para instalar o malware, apenas visitar um site ou abrir um e-mail. Nesse caso, as vítimas são visitantes de conhecidos sites de notícias russos, que carregam banners infectados.

Como funciona

Ao acessar o site, o malware é baixado automaticamente, e explora diretamente uma falha no Java, conhecida como “Java Rhino”.  Descoberta em 2011, essa falha permite a injeção do código malicioso no processo legítimo do Java.

Normalmente, os vírus instalam um arquivo no disco após explorar a falha. Nesse caso, o vírus permanece apenas na memória, o que dificulta ainda mais a identificação do malware, já que o mesmo não cria nenhuma entrada no disco rígido da vítima.

Depois de instalado na memória RAM, o vírus passa a agir como um “bot”, enviando uma série de informações a respeito do sistema infectado a um servidor malicioso, como o histórico da vítima e informações técnicas. O servidor envia de volta comandos ao malware.

O vírus também utiliza uma série de métodos para desabilitar o UAC (Controle de Conta do Usuário), responsável por limitar certas modificações, só possíveis a usuários com poderes administrativos.

Por trabalhar apenas na memória do Windows, o malware é “desinstalado” assim que o sistema é reiniciado. Porém, isso não chega a ser um problema aos criadores da praga, argumenta a Kaspersky, porque os sites de notícias são populares e a pessoa voltaria a ser infectada. Além disso, em alguns casos o vírus também é capaz de instalar o trojan Lurk, que rouba senhas bancárias e que ficará de forma permanente no sistema.

Segundo a Kaspersky, a conta de um dos clientes da AdFox estava sendo usada para modificar os banners, inserindo os scripts maliciosos.

Como se proteger

Uma forma de se proteger dessa ameaça é mantendo o Java atualizado. Existe uma correção para a falha, disponível no site da Oracle. Entretanto, o mais aconselhável é desativar por completo o uso do programa dentro do navegador, que é usado por diversos exploits.

Alguns bancos podem necessitar a utilização do Java. Nesse caso é aconselhável usar um navegador diferente do principal ou habilitar o Java temporariamente.

Usuários de qualquer país podem ser vítimas da praga – apesar dela estar atualmente atingindo especialmente internautas russos, já que os banners da AdFox, que estão presentes em diversos sites no mundo todo, estão sendo usados como forma de disseminação.

Criminosos brasileiros já criaram técnicas parecidas, utilizando-se dessa falha,e  indicando a atenção dos cibercriminosos em relação a novas vulnerabilidades.

Veja também

Anúncios

Escrito por Giovane Martins

Licenciado em Filosofia pela Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS). Mestrando em Filosofia pela Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS) com bolsa da Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES). Estudante de especialização em Educação, com ênfase em Ensino de Filosofia pela Universidade Federal de Pelotas (UFPel). Editor adjunto da revista Redescrições. Membro do GT da ANPOF "Semiótica e Pragmatismo" e membro associado da The Richard Rorty Society. Finalista do Prêmio JOTA/Inac de Combate à Corrupção do ano de 2016. Participou da organização do XIV Congresso Internacional da Société Internationale pour l'Étude de la Philosophie Médiévale (SIEPM). Atua nas seguintes linhas de pesquisa: Tolerância no Liberalismo Moderno; Liberdade de Expressão; Pluralismo de Valores; Liberalismo; Socialismo; Social-Democracia; Filosofia Política e Social; Filosofia Moderna.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s