Este malware ha aparecido en portales legítimos de noticias rusos ria.ru y gazeta.ru, aunque a estas horas puede estar ya en cualquier sitio. El método de ataque es el conocido Drive-by-Download o infección masiva a través de sitios web que aprovecha vulnerabilidades de los mismos (en este caso Java-CVE-2011-3544) para inyectar código malicioso entre su código original.

El exploit no se aloja en los sitios web afectados distribuyéndose a través de los visitantes de los sitios mediante banners de servicios de publicidad AdFox.

Al igual que una infección normal, el malware intenta apoderarse de todos los privilegios en las máquinas infectadas con el objetivo final de conseguir principalmente las contraseñas de banca en línea.

Sin embargo, en este caso, no instala malware en el disco duro. En su lugar, inyecta una dll cifrada directamente en memoria en el proceso javaw.exe. Obviamente se descarga en el reinicio o apagado del equipo pero ya es tarde ya que deja instalado el troyano Trojan-Spy.Win32.Lurk conectado a redes de bots.

Este tipo de malware basado en memoria RAM es extremadamente difícil de detectar y afecta a todos los sistemas operativos. Además de una solución de seguridad lo mejor es prevención anterior usando software actualizado que resuelva las vulnerabilidades que utilizan, en especial navegadores y complementos instalados.

Fuente: muyseguridad