Deze nieuwe drive-by malware maakt in het geheel geen bestanden aan op de harde schijf. Het houdt zich puur en alleen schuil in het geheugen van de besmette pc. De via Java binnenkomende Trojan is opgedoken in ads op veelbezochte Russische websites, waaronder persbureau RIA Novosti en online-dagblad Gazeta. Deze aanpak lijkt sterk op de vanuit Rusland uitgevoerde gerichte cyberaanval op de in Nederland populaire nieuwssite Nu.nl.

Vasthechten aan Java

De nu in Rusland ontdekte malware gebruikt een oud gat (CVE-2011-3544) in Java. Daarvoor is al wel een patch beschikbaar, maar die blijkt niet overal geïnstalleerd. Eenmaal binnengekomen op Windows-pc's hecht de malware zich aan het legitieme Java-proces dat in het systeemgeheugen draait. Normaliter maakt kwaadaardige code eigen bestanden aan op de harde schijf die dan met verhoogde gebruikersrechten draaien om hun malafide werk uit te voeren.

Doordat deze nieuwe malware alleen in het geheugen bestaat, is het moeilijker te detecteren. Aan de andere kant zorgt het uitschakelen of rebooten van de computer ervoor dat de infectie verdwijnt. Dat is voor de cybercriminelen hierachter geen groot nadeel, schrijft de News Service van Webwerelds uitgever IDG. Het opnieuw bezoeken van de besmette, populaire nieuwssites zorgt namelijk automatisch voor hernieuwde infectie.

Vervolg-malware

De in het geheugen actieve malware valt de User Account Control van Windows aan, waarvoor het diverse methodes aanwendt. Dit doet het om nieuwe code te kunnen uitvoeren die wordt binnengehaald via een http-verbinding waarbij de communicatie is vermomd als Google zoekopdrachten.

De zo ongemerkt gedownloade vervolg-malware kan variëren naar wens van de aanvallers. Het omvat in ieder geval een Trojan die log-ins voor internetbankieren buitmaakt, meldt securityleverancier Kaspersky die deze in-memory malware heeft ontdekt. Op basis van protocolanalyse schat de securityleverancier dat de command&control-servers van deze malwaremakers de afgelopen maanden zo'n 300.000 geïnfecteerde pc's hebben bediend.

Lunchpauze

In Nederland zijn via Nu.nl in korte tijd naar schatting 100.000 computers besmet. Dat is gebeurd tijdens de lunchperiode waarin de malware actief was en veel Nederlanders die nieuwssite bezoeken. De hierbij gebruikte malware had naast een Java-exploit ook een PDF-exploit in zijn arsenaal.

De infectie via Nu.nl is snel ontdekt en aangepakt. Inmiddels is ook de besmetting van Russische nieuwssites ongedaan gemaakt. Ads-netwerk AdFox dat de malware heeft gedistribueerd, is gelijk geïnformeerd en heeft het kwaad verwijderd van zijn systeem. De cybercriminelen hebben hun in-memory malware daar binnengekregen via het account van een AdFox-klant.