O ataque é sofisticado e silencioso. Não deixa qualquer marca é completamente indetectável por ferramentas de análise de ficheiros em disco. Não se sabe sequer quem está por detrás do ataque mas já foram atingidos mais de 140 grandes insituições.
Quando se fala de segurança, os bancos e negócios equiparáveis ( como por exemplo o Paypal ) são alvos preferênciais. A empresa de segurança electrónica Kaspersky Lab publicou esta semana um preocupante estudo sobre um novo tipo de vírus que está a espalhar-se pelo mundo.
Segundo informações reveladas pela Kaspersky no seu site Secure List, o programa em causa é praticamente indetectável e já atingiu mais de 140 sistemas de grandes instituições, incluíndo bancos.
O malware instala-se na memória RAM da máquina infectada, e, uma vez que não copia ficheiros para o disco rígido do computador comprometido, a sua presença torna-se muito difícil de identificar. Quando o sistema é reiniciado, todos os vestígios do vírus desaparecem.
Segundo a empresa de segurança, o programa utiliza scripts de PowerShell, uma biblioteca da Microsoft para automação de tarefas e gestão de configurações, combinados com código do método de payload Meterpreter.
O malware, que actua apenas na RAM, não deixa nenhum vestígio, e usa utilitários comuns, modificados para este efeito.
“Os invasores ainda estão activos, pelo que é importante lembrar que a detecção desses ataques só é possível na RAM, na rede e no Registo. Nesses casos, o uso das regras Yara, baseadas na verificação de arquivos maliciosos, não tem qualquer utilidade”, alerta a Kaspersky.
Através deste novo malware, criminosos podem ter acesso a informação sensível e dados de segurança dos bancos, incluindo passwords de administradores de sistemas.
A empresa de segurança já detectou ataques em mais de 40 países. Há pelo pelos 4 casos detectados em Espanha, mas ainda não foi identificado nenhum caso em Portugal. O número pode ser ainda maior, alerta a Kaspersky, já que esse tipo de vírus sem arquivos é muito difícil de ser detectado.
Ainda não se sabe que grupos de hackers estão por trás destes ataques. Muita informação sobre este ataque já foi disponibilizada no blog da Kaspersky, mas a empresa pretende revelar outros detalhes sobre o malware numa conferência em abril. (Security Analyst Summit).
// Fontes: ZAP, Oficina da Net
