A descoberta foi feita após a empresa realizar análises nos sites Ria.ru, pertencente a uma agência de notícias russa, e no Gazeta.ru, popular jornal online do país. A infecção ocorre de forma totalmente automática, explorando uma vulnerabilidade conhecida do Java (CVE-2011-3544), que já foi corrigida nas versões atualizadas do software.
O responsável pela propagação do malware não são os sites em si, mas sim os banners publicitários exibidos através de um serviço terceirizado conhecido como AdFox. Descrita pelos pesquisadores como “única” e “muito rara”, a ameaça injeta um DLL criptografado diretamente na memória do processo “javae.exe”.
Ameaça global
Após infectar a máquina, o software malicioso modifica as Configurações de Controle de Conta do Windows, que então permite o download e instalação do arquivo “Trojan-Spy.Win32.Lurk”. Embora a ameaça seja removida automaticamente toda vez que o computador é reiniciado, são grandes as chances de que uma nova infecção volte a acontecer, devido à alta probabilidade de que novas visitas aos sites noticiosos ocorram.“O ataque tem como alvo usuários russos. Porém, não podemos descartar a possibilidade de que a mesma falha e a mesma botnet sejam usadas contra pessoas em outras partes do mundo. Elas podem ser distribuídos através de banners semelhantes em outros países”, alerta o especialista em segurança Sergey Golavanov.
A melhor maneira de se proteger contra ataques do tipo é manter atualizados todos os softwares do computador, com prioridade para os navegadores e seus plugins. Além disso, é indispensável possuir instalado um bom programa antivírus capaz de realizar análises do tráfego de internet.
Nenhum comentário:
Postar um comentário