A Kaspersky Labs identificou um novo tipo de malware que não instala nenhum arquivo nas máquinas afetadas e realiza todas as suas operações em memória. A ameaça já se espalhou entre os visitantes de dois sites de notícias russos e é muito difícil de ser detectada.
Segundo o laboratório de segurança, o download do malware foi realizado através de uma rede de anunciantes terceirizada, a AdFox, e não é responsabilidade dos sites. Essa modalidade de infecção é conhecida como drive-by, onde uma simples visita a um site que contenha o código maligno já conduz à invasão. O novo vírus se aproveita de uma vulnerabilidade do Java para se alocar dentro da RAM.
Normalmente, em ataques drive-by, o usuário tem arquivos instalados em sua máquina sem seu conhecimento. Estes pequenos arquivos, conhecidos como droppers ou downloader, são responsáveis por baixar outros vírus e Cavalos de Tróia para o sistema. No caso descoberto pela Kaspersky, não existe um dropper e toda a funcionalidade da ameaça roda em memória, o que dificulta a detecção. Por outro lado, quando o computador é reiniciado, a memória é apagada e o invasor desaparece.
Enquanto está ativo na máquina infectada, o malware envia e recebe dados para um servidor central, com propósitos escusos. Eventualmente, ele pode também baixar outros programas malignos sem a intervenção do usuário. Segundo a Kaspersky, a melhor estratégia para se proteger deste tipo de ataque é manter todos os programas atualizados e utilizar um antivírus capaz de analisar tráfego de internet e ataques via código.
.
