Anti-virusbedrijf Trend Micro is met een onderzoek gekomen naar een vrij recente manier van hacken.

Onderzoekers gebruiken voorlopig de term fileless malware voor het fenomeen. Eerder deze maand werd er al door Trend Micro gewaarschuwd voor een backdoor, die geen bestanden op de harde schijf overschrijft. Dit maakt het uitzonderlijk lastig voor antivirusprogramma’s om de malware te detecteren en eventueel te bestrijden. Nu hebben de onderzoekers een duidelijk beeld van de werkwijze van deze nieuwe malware.

Modus Operandi

Het stappenplan van de malware gaat als volgt:

-          De hacker in kwestie steekt een USB-stick in de pc van zijn of haar doelwit.

-          De Usb-stick bevat een snelkoppeling, die bij het openen een code uitpakt en uitvoert in het geheugen. Er wordt een aanpassing gemaakt in het opstartregister.

-          Tijdens het opnieuw opstarten zorgt de aanpassing ervoor, dat Powmet Trojan downloadt en uitvoert.

-          De Trojan downloadt op zijn beurt een Powershell-script, dat de uiteindelijke backdoor aan het getroffen systeem toevoegt.

Origin Unknown

Wat de malware zo uniek maakt, is het feit dat er helemaal geen bestanden naar de harde schrijf worden overgeschreven in het complete proces. Volgens Trend Micro zijn aanvallen van deze variant een zeer zeldzame gang van zaken. Het is momenteel nog niet duidelijk waar de USB-sticks vandaan zouden moeten komen en bij welke organisaties deze methode gebruikt is. De backdoor werd vooral gesignaleerd in Azië en rondom de Stille Oceaan.