Investigadores de seguridad han descubierto una nueva variante de Dridex ( uno de los troyanos bancarios más nefastos de orientación activa del sector financiero ) con una nueva técnica de inyección de código sofisticado y capacidades evasivas llamado «AtomBombing .»
El martes, Magal Baz, investigador de seguridad de Trusteer IBM da a conocer una nueva investigación, reveló una nueva investigación, exponiendo la nueva versión Dridex 4, que es la última versión del infame troyano financiero y sus nuevas capacidades.
Dridex es uno de los troyanos más conocidos que muestra el comportamiento típico de monitoreo de tráfico de la víctima a sitios bancarios mediante la infiltración de PCs víctima utilizando macros incrustados en documentos de Microsoft o através de ataques de inyección de internet y luego robando credenciales bancarias en línea y datos financieros.
Sin embargo, al incluir las capacidades de AtomBombing, Dridex se convierte en la primera muestra de malware en utilizar esta sofisticada técnica de inyección de código para evadir la detección.
¿ Cuál es la técnica de «AtomBombing» ?
Técnicas de inyección en versiones anteriores de Dridex se han vuelto demasiado comunes y fáciles de detectar por los antivirus y otras soluciones de seguridad.
Pero dado que la técnica de AtomBombing es un enfoque diferente para la inyección de código que no se basa en llamadas de API fáciles de detectar utilizados por antiguas versiones de Dridex, aprovechando AtomBombing en la última versión Dridex hace que sea difícil para los antivirus poder detectarlo.
Inicialmente descubierto en octubre por un tal Liberman de enSilo empresa de seguridad, AtomBombing es una técnica de inyección de código que podría permitir a un atacante inyectar código malicioso en todas las versiones de Microsoft Windows OS, incluso Windows 10, de manera que no hay herramientas anti-malware que pueden detectarlo.
AtomBombing no explota ninguna vulnerabilidad, sino abusos las Atom Tables a nivel de sistema, una característica de Windows que permite a las aplicaciones almacenar información sobre cadenas, objetos y otros tipos de datos para el acceso de forma regular.
Un atacante puede escribir el código malicioso en una tabla de átomo y engañar a las aplicaciones legítimas recuperándo de la Atom Tables para ejecutar acciones maliciosas en casi cualquier sistema operativo Windows lanzado en los últimos 16 años.
Dridex Versión 4 descubierto en el terreno
Según los investigadores de IBM X-Force, el troyano bancario Dridex recientemente se sometió a una actualización de versión que ahora apoyan AtomBombing.
Pero el autor del malware sólo se quedó a mitad de camino de lo que hace Dridex 4 diferente de otros ataques AtomBombing, los atacantes utilizaron «la técnica AtomBombing para la escritura de la carga útil, a continuación, utiliza un método diferente para lograr permisos de ejecución, como para la propia ejecución.»
«El flujo difiere de la descrita en la técnica AtomBombing. Para obtener la carga útil en un espacio de memoria ejecutable, Dridex llama simplemente NtProtectVirtualMemory del proceso de inyección de cambiar la memoria, donde la carga útil ya está escrito en RWX», dijeron los investigadoresde X-Force .
Dado que el uso de una llamada APC a la carga útil habría sido muy sospechoso, podría ser detectado y detenido, Dridex4 utiliza «el mismo método GlobalGetAtomW para el parche GlobalGetAtomA, enganchándolo para ejecutar la carga útil».
Los investigadores dijeron que el nuevo Dridex4 ya está en uso en campañas activas contra los bancos europeos, y es sólo una cuestión de tiempo antes de que los piratas informáticos comienzan focalización instituciones financieras estadounidenses también.
Software y seguridad de los productos antivirus ahora pueden implementar sus sistemas de seguimiento y prevenir ataques Dridex4 ya que los hallazgos de IBM están disponibles para todos.
Para una explicación más detallada y del trabajo técnico de la versión más reciente del troyano Dridex, puede dirigirse a IBM de entrada en el blog .