Dridex è tornado con un esplosivo colpo di scena

 

Gli analisti del team IBM X-Force Threat Intelligence tengono traccia delle più recenti minacce di Internet. Inaspettatamente, il Trojan bancario Dridex è tornado, rinnovando la sua attività ancora una volta. IBM ha annunciato che una nuova versione di questo malware è stata sviluppata e che è più determinate che mai a fare Danni. Dalla prima apparizione di 2014, con ogni nuovo aggiornamento, il malware modificava leggermente il modo in cui era stato originariamente creato.

Tuttavia, le operazioni portate avanti da Dridex banking Trojan non sono differenti dalla versione 3.0 rilasciata ad aprile 2015. Sebbene Hidden VNC non è sempre incorporato nei piani, Dridex lo utilizza con successo per implementare la creazione di connessioni nascoste con gli host. In pratica, questo nuovo esemplare di Dridex reindirizzerà gli utenti infetti in falsi siti di online banking tramite un server proxy. La versione 4 differisce per un aspetto significativo: prima, Dridex inseriva codici malevoli nel dispositivo delle vittime. Adesso sembra che sono passati al caricare questi codici nella memoria dell’host. Windows API non è più una priorità, dato che cerca di effettuare un nuovo ed esplosivo colpo di scena. Se la tecnica di creazione remota di una minaccia utilizzasse API diverrebbe troppo ovvia e darebbe la possibilità a molte vittime di essere avvisate, il nuovo metodo invece è più segreto.

Oltre alle novità menzionate sopra, Dridex è stato anche aggiornato in altre aeree. Ha migliorato la sua cifratura e ha concentrato i suoi sforzi per tenere la sua presenza segreta. AtomBombing viene utilizzato per questo scopo: per rendere ancora più complesso notare Dridex in azione.

AtomBombing potrebbe non suonarti familiare, ma è stato introdotto per la prima volta nel 2016. E’ molto più semplice nascondere l’attività di questo Trojan bancari se questi malware si avvantaggiano della strategia che enSilo ha scoperto. Nessun interfaccia dell’applicazione è necessaria, il che è un vantaggio per i Trojan bancari. Invece di usare le vecchie tecniche, gli hacker stanno cercando di utilizzare AtomBombing. In pratica si basa sulle tabelle atomiche di Windows e NtQueueApcThread per inserire il payload principale del Trojan in lettura e nella memoria scritta. Tuttavia, l’uso di AtomBombing viene sempre portato avanti in modo differente, dato che ogni hacker possiede la propria interpretazione di questa tattica. Utilizzano differenti approcci per ottenere la validazione del processo di esecuzione.

I Trojan bancari sono estremamente pericolosi dato che la loro missione è quella di rubare informazioni sensibili dalle loro vittima. Le credenziali della banche online sono il loro obiettivo principale. Se gli hacker riuscissero a mettere le mani su queste informazioni, ripuliranno sicuramente il tuo conto corrente. Fortunatamente, esistono delle tecniche che i servizi bancari possono utilizzare per rendere maggiore la sicurezza.

Fonte: eweek.com.

 
 
 
 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *