Aggiornamenti recenti Aprile 19th, 2024 9:00 AM
Mar 01, 2017 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS, Trojan 0
Tutti sapevano che prima o poi sarebbe successo, ma l’utilizzo dell’attacco battezzato “AtomBombing” da parte del trojan Dridex rischia di prendere in contropiede tutti i software di sicurezza.
La tecnica di attacco, scoperta e resa pubblica dai ricercatori di enSilo lo scorso ottobre, permette di sfruttare le atom table di Windows per eseguire un’iniezione di codice all’interno di un programma, con buone probabilità di aggirare i controlli degli antivirus.
Sempre i ricercatori di enSilo avevano chiarito in quell’occasione che aspettarsi una patch in grado di bloccare l’attacco era impossibile, visto che il funzionamento delle atom table è una delle “colonne” nell’architettura di Windows.
Fino a oggi, però, l’ipotesi che un malware la utilizzasse era pura teoria. Ora i ricercatori del team X-Force di IBM hanno individuato un trojan che usa AtomBombing per attaccare i PC Windows.
Si tratta della versione 4 di Dridex, un trojan bancario comparso per la prima volta nel 2014 che da allora ha subito numerose metamorfosi.
Dridex, a quanto scrivono i ricercatori, è stato sviluppato sulla base di un trojan più vecchio chiamato Bugat e sarebbe utilizzato da un’organizzazione criminale che prende di mira sistematicamente il settore bancario, rubando le credenziali di accesso delle vittime. La nuova campagna di diffusione, in particolare, starebbe interessando il Regno Unito ed è stata individuata il mese scorso.
Stando all’analisi di IBM, Dridex v4 utilizza in parte la tecnica descritta da enSilo nel report di ottobre. I passaggi ipotizzati dai ricercatori, infatti, erano numerosi: utilizzare le atom table e le API NtQueueApcThread per eseguire un’injection in un processo attivo, importare il codice del payload in uno spazio di memoria accessibile in scrittura e lettura (RW), eseguirlo e poi ripristinare il processo originale.
Il trojan segue i primi passaggi, ma utilizza poi delle tecniche alternative per ottenere i permessi di esecuzione e per l’esecuzione stessa. Di conseguenza, l’attacco ha una maggiore visibilità rispetto a quanto immaginato in uno scenario tipico.
Dridex, infatti, deve in ogni caso eseguire una serie di operazioni che (ora che si conoscono) possono essere rilevate dai software antivirus.
La versione aggiornata del trojan, in ogni caso, integra anche alcune novità che secondo i ricercatori di IBM lo rendono più efficace rispetto alle vecchie edizioni.
Tra queste l’introduzione di un sistema che varia costantemente gli hash usati per la sua identificazione nelle impostazioni, rendendo più difficile il suo rilevamento attraverso i controlli automatici.
I pirati informatici hanno inoltre migliorato il sistema crittografico usato per proteggere i dati di configurazione del trojan, tra i quali ci sono per esempio le URL relative alle banche che prende di mira.
Il malware, infine, adotta una nuova tecnica per garantirsi l’avvio a ogni accensione del computer. Al momento dell’infezione, Dridex sposta un file eseguibile legittimo dalla cartella system32 a un’altra directory e inserisce nella stessa cartella una DLL col suo codice che si sostituisce a quella collegata all’eseguibile stesso.
Modifica poi le impostazioni di Windows (per esempio dal registro di sistema) per impostare l’avvio automatico dell’eseguibile, che richiama la DLL infetta. In questo modo il processo malevolo viene mascherato ai controlli in fase di avvio.
Feb 02, 2023 0
Set 15, 2022 0
Set 08, 2022 0
Ago 01, 2022 0
Apr 19, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 19, 2024 0
Il mondo del cybercrimine continua a mettere in difficoltà...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...