Kaspersky scopre un malware che lavora solo in RAM

Kaspersky ha comunicato di aver scoperto un nuovo malware che infetta il sistema degli utenti Windows senza però caricare alcun file sul disco fisso. Secondo quanto riportato da Sergey Golovanov sul blog dell’azienda, l’aggressione partirebbe da alcuni famosi siti web russi. Di per sé tali siti sarebbero del tutto legittimi. Anzi, come spiega il ricercatore, non sarebbero stati nemmeno oggetto di alcun attacco informatico. L’infezione verrebbe innescata dopo il caricamento da parte del browser di alcuni banner pubblicitari maligni a partire dai quali viene richiamata una applet Java malevola. Qualora l’utente utilizzasse una versione del pacchetto Java affetta da una nota vulnerabilità di sicurezza (CVE-2011-3544; la scoperta e la conseguente risoluzione della falla risalgono al mese di ottobre 2011), vedrebbe il suo sistema immediatamente bersaglio dei criminali informatici.

Quello descritto da Golovanov risponde alla descrizione di un comune attacco “drive-by download” che, appunto, sfrutta le vulnerabilità di uno o più programmi, non sanate mediante l’installazione delle apposite patch di sicurezza. Ciò che evidenzia Kaspersky, però, è che il malware appena scoperto non memorizza alcun file nel file system quindi sul disco fisso dell’utente ma inserisce tutte le informazioni legate al suo funzionamento nella memoria del personal computer.

In particolare, spiega Golovanov, il malware provvede a caricare ed a collegare dinamicamente una libreria DLL nociva ai file che sovrintendono al funzionamento del software Java. Si tratta di tipologie di minacce molto rare perché, essendo caricate in RAM, cessano di esistere sul sistema dell’utente non appena questi, ad esempio, riavvia il personal computer. Malware come quello appena venuto a galla, però, sono più difficili da individuare perché si legano al funzionamento di altri software, assolutamente legittimi, già in esecuzione sulla macchina in uso. Inoltre, conclude Golovanov, il breve ciclo di vita del malware sul sistema dell’utente (viene automaticamente rimosso dalla RAM ad ogni reboot o spegnimento del personal computer) è compensato dal fatto che gli aggressori hanno preso di mira siti web altamente trafficati e sui quali uno stesso utente è altamente possibile che torni più volte in un breve periodo di tempo.