A empresa de segurança eletrônica Kaspersky Lab publicou nesta semana um preocupante estudo a respeito de um novo tipo de vírus que tem se espalhado pelo mundo. O programa é quase indetectável e já atingiu mais de 140 bancos e grandes instituições, inclusive no Brasil.
Basicamente, o que esse tipo de malware faz é se instalar na memória RAM da máquina infectada. Sem copiar arquivos para o disco rígido, fica quase impossível detectar sua presença. Assim que o sistema é reiniciado, todos os vestígios do vírus desaparecem.
Segundo a Kaspersky, o programa malicioso usa scripts de PowerShell combinados ao código do método de payload Meterpreter. Sem deixar nenhum vestígio, operando apenas na RAM da máquina infectada, o malware então usa utilitários comuns, como o NETSH, para oferecer acesso remoto aos hackers.
“Os invasores ainda estão ativos; por isso, é importante lembrar que a detecção desses ataques só é possível na RAM, na rede e no Registro. E que, nesses casos, o uso das regras Yara, baseadas na verificação de arquivos maliciosos, não tem qualquer utilidade”, alerta a Kaspersky.
Graças a esse novo malware, invasores têm colocado suas mãos em informações de segurança de bancos, como senhas de administradores de sistemas, com o objetivo de desviar dinheiro de caixas eletrônicos. A Kaspersky já registrou ataques em mais de 40 países. Seis casos já foram detectados no Brasil.
Esse número, na realidade, pode ser muito maior, já que esse tipo de vírus sem arquivos é muito difícil de ser detectado. Não se sabe quais grupos de hackers estão por trás desses ataques, ou se é apenas um grupo. A Kaspersky promete revelar mais detalhes sobre esse novo malware invisível em abril.