Mã độc giấu mặt trên RAM

Các nhà nghiên cứu thuộc Kaspersky Lab vừa phát hiện một phần mềm mã độc “sống” trên bộ nhớ RAM, dễ dàng qua mặt tất cả các chương trình chống malware.
Phần mềm mã độc (malware) này không tạo ra tập tin “uy hiếp” hệ thống máy tính nên việc phát hiện chúng gặp nhiều khó khăn. Chúng được bí mật cài vào máy tính của nhiều người theo hình thức tấn công drive-by download (tự động tải về mà người dùng không hề biết) khi họ truy cập vào một số website tin tức nổi tiếng của Nga - các nhà nghiên cứu bảo mật thuộc Kaspersky Lab cho biết.Drive-by download là kiểu tấn công phổ biến nhằm phát tán malware trên web. Các malware này thường khai thác lỗ hổng mà phần mềm chưa cập nhật. Các nhà nghiên cứu Kaspersky Lab tiến hành cuộc điều tra sau khi nhận một số thông tin của người dùng về việc máy tính họ chạy chậm khi truy cập một số website tin tức phổ biến tại Nga.

Kết quả điều tra gây ngạc nhiên với các nhà nghiên cứu Kaspersky Lab, malware không tạo ra tập tin mới trên ổ cứng, thay vào đó nó trú ẩn trong bộ nhớ RAM.

Tin tặc khai thác lỗ hổng Java, cài cắm malware vào banner quảng cáo của hãng thứ 3 trên trang web. Kiểu tấn công này khai thác tiến trình nạp và chạy DLL (dynamic-link library) của Java. Dạng malware này khá hiếm, vì nó sẽ “chết” khi người dùng khởi động lại máy tính hay “làm sạch” bộ nhớ RAM. Tuy nhiên, với tin tặc, việc malware “chết” sau khi khởi động lại máy tính không là vấn đề vì người dùng sẽ quay lại trang web đó và sẽ tiếp tục nhiễm malware.

DLL độc hại được nạp vào bộ nhớ và hoạt động như một bot. Máy tính nhiễm bot sẽ hoạt động chậm chạp, đây là một đặc điểm giúp người dùng nhận biết máy tính nhiễm malware, vì lúc này máy tính bot sẽ chủ động gửi nhận dữ liệu với máy chủ điểu khiển của tin tặc.

Sergey Golovanov, chuyên gia của Kaspersky Lab, cho biết hiện các cuộc tấn công kiểu này đang nhắm đến người dùng tại Nga, nhưng không loại trừ khả năng tin tặc sẽ mở rộng tấn công sang các đối tượng người dùng tại các quốc gia khác.

Để ngăn chặn kiểu tấn công này, người dùng luôn nhớ cập nhật cho phần mềm, đặc biệt là trình duyệt web và các plug-in. Nếu phần mềm cài đặt trên máy tính chưa có bản cập nhập lỗ hổng mới, người dùng nên thiết lập chương trình chống malware quét các luồng truy cập Web. Sergey Golovanov nói rằng đây là các biện pháp phòng chống mà người cần thực hiện tốt, vì một khi malware dạng này xâm nhập vào máy tính, các chương trình chống malware sẽ không thể phát hiện.

Nguồn: IDG News