Web-Attacke via Java verseucht den Arbeitsspeicher

Auf manchen Webseiten kann man sich im Vorbeisurfen (Drive-by) eine Malware einfangen, sofern man nicht aktive und gute Sicherheitsmaßnahmen in Stellung gebracht hat. Die jüngste Variante einer solchen Web-Infektion nutzt Java aus, um ins Zielsystem zu gelangen. Dort hängt es sich nicht etwa wie gewohnt an eine Datei – wo ein Virenscanner sie dann finden könnte – sondern versteckt sich trickreich im RAM.

Diese Angriffsvariante wurde von Kaspersky soeben in freier Wildbahn entdeckt, und zwar in Russland, wo die bekannten und beliebten News-Portale RIA Novosti und Gazeta mit dem Drive-by-Schädling verseucht wurden.

Eine Analyse des Angriffscodes ergab, dass eine bekannte Java-Schwachstelle (CVE-2011-3544 mit gefälschter DLL) ausgenutzt wurde. Das war aber nicht Schuld des Website-Hosters, sondern gelangte durch ein Werbebanner (AdFox-Service) auf das Portal. Wie viele Seitenbesucher sich infiziert haben, konnten die Experten nicht beziffern. »Bei so einem Angriff wird normalerweise eine Malcode-Datei auf die Festplatte geschmuggelt. In diesem Fall aber nicht, der Code versteckte sich im Arbeitsspeicher«, berichtet Kaspersky-Lab-Mitarbeiter Sergey Golovanov im Blog.

So eine Angriffsmethode ist sehr selten, denn mit jedem Herunterfahren des Systems wird der Speicher und damit der Schadcode gelöscht. Das war für die Kriminellen aber kein Problem, gingen sie doch davon aus, dass ihre Opfer öfter bei den verseuchten Newsseiten vorbeischauen.

Die verseuchte DLL agierte vom Speicher aus als Bot und verschickte Daten an einen Kontrollserver, von dem auch neue Instruktionen empfangen wurden. Darunter war wohl auch der Befehl, einen Banking-Trojaner auf dem infizierten Rechner zu installieren.