USD 63.85 ЕВРО 70.6

Хакеры делают атаку типа drive-by download более незаметной с помощью бесфайловых вирусов

Экономика

Киберпреступники все чаще заражают компьютеры вредоносными программами, которые находятся только в памяти, чтобы их атаки было труднее обнаружить.

Недавние атаки использовали эксплойт Angler (комплект инструментов для веб-атак, который встраивает вредоносный код непосредственно в другие процессы и не создает вредоносных файлов на зараженных компьютерах, заявил независимый исследователь зловредного ПО Kafeine в своем блоге.

Бесфайловые вредоносные программы не являются новинкой, но их редко используют, особенно в крупных атаках, потому что вирусы не сохраняются при перезагрузке системы, когда очищается оперативная память.

При типичной атаке типа drive-by download, жертва посещает взломанный сайт, который перенаправляет браузер на страницу с эксплойтом. Эксплойт-кит сканирует браузер на наличие устаревших версий Flash Player, Adobe Reader, Java или Microsoft Silverlight и пытается использовать известные уязвимости в плагинах для установки вредоносных программ.

Полезной нагрузкой, как правило, является программа-дроппер, целью которой является скачать и установить одну или несколько вредоносных программ.

Недавние эксплойты Angler, обнаруженные Kafeine, имели другую финальную стадию. Вместо установки вредоносной программы на диске, они вводят вредоносный код непосредственно в процесс браузера, что делает его гораздо более труднонаходимым для антивирусного программного обеспечения.

Kafeine сказал, что его обычные инструменты не смогли обнаружить полезную нагрузку, и что эксплойт даже обошел систему предотвращения вторжений (проактивная технология защиты, построенная на анализе поведения (HIPS)), которую он использовал.

Техника бесфайловых вирусов открывает широкий спектр возможностей для злоумышленников, поскольку она обеспечивает мощный способ обхода средств антивирусного обнаружения. Она идеально подходит для одноразовой кражи информации, и позволяет собирать информацию о зараженном компьютере, перед развертыванием более стойких угроз, которые разрушают его защиту, сказал он.

«Использование зловредного ПО, размещающегося в памяти, безусловно, шаг вперед для кибер-преступников», сказал Богдан Ботезату, старший аналитик электронных угроз из Bitdefender. «Я не ожидал увидеть эту технику, включенную в коммерчески доступный эксплойт-набор, поскольку, руководствующиеся финансовой прибылью киберпреступники предпочитают живучесть невидимости».

Вредоносные программы, находящиеся только в памяти, более характерны для громких и спонсируемых государством атак, потому что это позволяет злоумышленникам заразить цель, изъять информацию и не оставить следов на диске для криминалистического анализа, сказал Ботезату.