Il trojan Dridex ora si diffonde con l’attacco “AtomBombing”

Mar 01, 2017 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS, Trojan 0

La tecnica di exploit per Windows è stata individuata mesi fa, ma non c’è una patch per correggerla. IBM: “Difficile individuarlo”.

Tutti sapevano che prima o poi sarebbe successo, ma l’utilizzo dell’attacco battezzato “AtomBombing” da parte del trojan Dridex rischia di prendere in contropiede tutti i software di sicurezza.

La tecnica di attacco, scoperta e resa pubblica dai ricercatori di enSilo lo scorso ottobre, permette di sfruttare le atom table di Windows per eseguire un’iniezione di codice all’interno di un programma, con buone probabilità di aggirare i controlli degli antivirus.

Sempre i ricercatori di enSilo avevano chiarito in quell’occasione che aspettarsi una patch in grado di bloccare l’attacco era impossibile, visto che il funzionamento delle atom table è una delle “colonne” nell’architettura di Windows.

Fino a oggi, però, l’ipotesi che un malware la utilizzasse era pura teoria. Ora i ricercatori del team X-Force di IBM hanno individuato un trojan che usa AtomBombing per attaccare i PC Windows.

Si tratta della versione 4 di Dridex, un trojan bancario comparso per la prima volta nel 2014 che da allora ha subito numerose metamorfosi.

La versione del malware è indicata all’interno del codice del trojan stesso.

Dridex, a quanto scrivono i ricercatori, è stato sviluppato sulla base di un trojan più vecchio chiamato Bugat e sarebbe utilizzato da un’organizzazione criminale che prende di mira sistematicamente il settore bancario, rubando le credenziali di accesso delle vittime. La nuova campagna di diffusione, in particolare, starebbe interessando il Regno Unito ed è stata individuata il mese scorso.

Stando all’analisi di IBM, Dridex v4 utilizza in parte la tecnica descritta da enSilo nel report di ottobre. I passaggi ipotizzati dai ricercatori, infatti, erano numerosi: utilizzare le atom table e le API NtQueueApcThread per eseguire un’injection in un processo attivo, importare il codice del payload in uno spazio di memoria accessibile in scrittura e lettura (RW), eseguirlo e poi ripristinare il processo originale.

Il trojan segue i primi passaggi, ma utilizza poi delle tecniche alternative per ottenere i permessi di esecuzione e per l’esecuzione stessa. Di conseguenza, l’attacco ha una maggiore visibilità rispetto a quanto immaginato in uno scenario tipico.

Una delle fasi di iniezione del codice attraverso le atom table.

Dridex, infatti, deve in ogni caso eseguire una serie di operazioni che (ora che si conoscono) possono essere rilevate dai software antivirus.

La versione aggiornata del trojan, in ogni caso, integra anche alcune novità che secondo i ricercatori di IBM lo rendono più efficace rispetto alle vecchie edizioni.

Tra queste l’introduzione di un sistema che varia costantemente gli hash usati per la sua identificazione nelle impostazioni, rendendo più difficile il suo rilevamento attraverso i controlli automatici.

I pirati informatici hanno inoltre migliorato il sistema crittografico usato per proteggere i dati di configurazione del trojan, tra i quali ci sono per esempio le URL relative alle banche che prende di mira.

Il malware, infine, adotta una nuova tecnica per garantirsi l’avvio a ogni accensione del computer. Al momento dell’infezione, Dridex sposta un file eseguibile legittimo dalla cartella system32 a un’altra directory e inserisce nella stessa cartella una DLL col suo codice che si sostituisce a quella collegata all’eseguibile stesso.

Modifica poi le impostazioni di Windows (per esempio dal registro di sistema) per impostare l’avvio automatico dell’eseguibile, che richiama la DLL infetta. In questo modo il processo malevolo viene mascherato ai controlli in fase di avvio.

Condividi l'articolo