Estudo divulgado pela Kaspersky alerta para um novo tipo de malware capaz de se manter invisível.
Segundo o fabricante, o malware é praticamente indetectável e já teria atingido mais de 140 grandes instituições financeiras, inclusive no Brasil. A ameaça é capaz de se instalar na memória RAM da máquina infectada. Sem copiar arquivos para o HD, dificulta a sua detecção. Assim que o sistema é reiniciado, todos os vestígios do programa malicioso acabam desaparecendo.
O programa malicioso utiliza scripts de PowerShell combinados ao código do método de payload Meterpreter. O malware, operando apenas na RAM, não deixa nenhum vestígio, usa utilitários comuns, como o NETSH, o qual oferece acesso remoto aos invasores.
“Os invasores ainda estão ativos; por isso, é importante lembrar que a detecção desses ataques só é possível na RAM, na rede e no Registro. Nesses casos, o uso das regras Yara, baseadas na verificação de arquivos maliciosos, não tem qualquer utilidade”, alerta a Kaspersky.
Por conta desta nova ameaça, criminosos podem ter acesso a informações de segurança de bancos, incluindo senhas de administradores de sistemas. Já foram detectados ataques em mais de 40 países. Seis deles aconteceram no Brasil.
A Kaspersky alerta, ainda, que o número pode ser ainda maior, já que esse tipo de malware sem arquivo é muito difícil de ser detectado. Até a data da publicação do estudo, não se sabe quais os grupos de cibercriminosos que estão por trás dos ataques. Em abril, segundo a Kaspersky, novos detalhes serão revelados.
Para mais informações sobre o estudo, clique aqui.