Kaspersky Lab speciālisti ir konstatējuši unikālu uzbrukumu, kurā hakeri izmantojuši kaitīgo programmatūru, kas spēj darboties, neveidojot datnes inficētajā sistēmā. Kaitīgā koda izplatīšanā tika iesaistīts tīzeru tīkls, kas ietver vairākus populārus Krievijas ziņu resursus.
Kaspersky Lab ekspertu [url=http://www.securelist.com/en/blog/687/A_unique_fileless_bot_attacks_news_site_visitors]pētījuma[/url] gaitā tika noskaidrots, ka inficēšanai bija pakļauti dažu Krievijas tiešsaistes plašsaziņas līdzekļu tīmekļa vietņu apmeklētāji. Šīs vietnes savās lapās izmanto ar AdFox tehnoloģijām organizēta tīkla tīzerus. Lejupielādējot vienu no ziņu tīzeriem, lietotāja pārlūks tika slepeni novirzīts uz kaitīgo vietni ar Java izmantotāju, taču atšķirībā no parastajiem apslēptajiem uzbrukumiem kaitīgā programmatūra netika lejupielādēta cietajā diskā, bet darbojās vienīgi datora operatīvajā atmiņā.
Darbojoties kā bots, kaitīgā programmatūra no lietotāja pārlūka uz ļaundaru serveri nosūtīja pieprasījumus un ziņas par tīmekļa vietņu apmeklējuma vēsturi. Ja nosūtītie dati ietvēra informāciju par internetbankas sistēmas izmantošanu, inficētajā datorā tika instalēts trojietis Lurk, kas ir paredzēts lietotāju konfidenciālās informācijas zagšanai, lai piekļūtu vairāku lielu Krievijas banku internetbankas sistēmai.
Izpētes gaitā tika atklāts, ka pats AdFox tīkls nav infekcijas avots. Izmaiņas ziņu sludinājumu reklāmkarogu kodā, pievienojot tiem saiti uz kaitīgo vietni, hakeri ir veikuši no kāda AdFox klienta konta. Šādā veidā viņi ieguva iespēju uzbrukt ne tikai vienas ziņu vietnes apmeklētājiem, bet arī citu analoģisku sistēmu izmantojošu resursu lietotājiem. Tādējādi potenciālo uzbrukuma upuru skaits var sasniegt desmitiem tūkstošu.
«Mums ir darīšana ar unikālu uzbrukumu. Hakeru izvēlētā tīzeru tīkla izmantošana ir viens no visefektīvākajiem kaitīgā koda instalēšanas veidiem,» komentē Kaspersky Lab galvenais antivīrusu eksperts Aleksandrs Gostevs. «Turklāt dažu pēdējo gadu laikā mēs pirmo reizi sastopamies ar reta veida kaitnieku – tā dēvēto «bezķermeņa» kaitīgo programmatūru, kas nepastāv datnes formā cietajā diskā, bet funkcionē vienīgi inficētā datora operatīvajā atmiņā, tādējādi ievērojami apgrūtinot tās atklāšanas procesu, izmantojot antivīrusu.»
Lai gan «bezķermeņa» programmatūras spēj darboties tikai līdz operētājsistēmas restartam, pastāv diezgan liela iespēja, ka lietotājs atkal nonāks inficētajā ziņu vietnē. Kaspersky Lab eksperti brīdina, ka vienīgais drošais aizsardzības veids pret ievainojamības izmantojošajām kaitīgajām programmatūrām ir savlaicīga atjauninājumu instalēšana. Šajā gadījumā Java ievainojamības CVE-2011-3544 novēršanai ieteicams instalēt Oracle izveidoto ielāpu, kuru var lejupielādēt, uzklikšķinot uz saites [url=http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html]www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html[/url].
Detalizēti Kaspersky Lab ekspertu pētījuma rezultāti ir pieejami tīmekļa vietnē [url=http://www.securelist.com]www.securelist.com[/url].