Veľký upgrade malvéru môže európskym bankám spôsobiť ešte väčšie bolesti hlavy.
Trójsky kôň Dridex dostal inováciu, ktorá vybavuje malvér novou, sofistikovanou technikou vstrekovania a únikovými schopnosťami známymi ako AtomBombing.
V utorok výskumníci IBM X-Force odhalili nový výskum ktorá odhalila najnovšiu verziu Dridexu a jeho nové schopnosti.
Najnovšia verzia finančného trójskeho koňa, verzia štyri, bola objavená pred niekoľkými týždňami. IBM tvrdí, že objav AtomBombing, ktorý je súčasťou malvéru, je prvým príkladom bankového malvéru, ktorý využíva sofistikované kódovanie.
IBM tvrdí, že objav je významný, pretože je pravdepodobné, že ďalší počítačoví zločinci prispôsobia svoje vlastné kódy trójskych koní, aby sa stali rovnako nebezpečnými v budúcnosti a banky musia držať krok s týmito vyvíjajúcimi sa hrozbami, aby zabezpečili, že ich zákazníci budú pri používaní online systémov čo najbezpečnejší.
Dridex je jedným z najznámejších trójskych koní, ktoré zasiahli európske finančné inštitúcie. Trójsky kôň často preniká do počítačov obetí prostredníctvom škodlivých makier vložených do dokumentov spoločnosti Microsoft alebo prostredníctvom nich útoky na webovú injekciu a akonáhle je systém napadnutý, ukradne poverenia online bankovníctva a financie údajov.
Dridex bol prvýkrát zaznamenaný v roku 2014 po rozšírení prostredníctvom spamovej kampane v Spojenom kráľovstve.
AtomBombing však bol prvý zverejnené v októbri minulého roka bezpečnostnou firmou enSilo. Kyberútočníci môže využiť základné tabuľky atómov v okne na všetkých verziách operačného systému prinútením legitímnych programov získať škodlivý kód zapísaný do tabuľky atómov.
Tvorcovia Dridexu sa rozhodli použiť iba časť tohto exploitu. Malvér skopíruje užitočné zaťaženie do pamäťového priestoru na čítanie a zápis (RW) v cieľovom procese, ale používa inú metódu na zápis a spustenie užitočného zaťaženia.
Namiesto toho, aby riskoval podozrivé volania rozhraní API Windows, Dridex volá proces virtuálnej pamäte, aby zmenil pamäť už zapísanú do procesu.
„Je to jednoduchá oprava a malý kompromis v záujme celkovej techniky, ktorá je navrhnutá tak, aby sa vyhlo podozrivým volaniam API, ktoré sú zvyčajne monitorované bezpečnostným softvérom,“ poznamenáva IBM.
Pozri tiež: Dridex Trojan sa zameriava na britské banky, vyhýba sa dvojfaktorovým overovacím kontrolám
Výskumníci tvrdia, že vývojári Dridex tiež zlepšili šifrovanie konfigurácie trójskeho koňa a mechanizmy pretrvávania.
Dridex V.4 je už vonku a aktívne útočí na britské banky prostredníctvom schém presmerovania a malvéru hVNC RAT schopnosti, ktoré, ako sa zdá, nahradili metódy trojanovej webovej injekcie, ktoré boli kedysi najbežnejšími spôsobmi, ktoré sa používali na zacielenie na potenciálne obete.
„Uvoľnenie hlavnej verzie aktualizácie je veľký problém pre akýkoľvek softvér a to isté platí pre malvér,“ hovorí IBM. „Význam tohto upgradu je v tom, že Dridex sa naďalej zdokonaľuje a investuje do ďalšieho úsilia vyhnúť sa bezpečnosti a zlepšiť svoje schopnosti umožňujúce finančné podvody.“
Čítanie o kybernetickej bezpečnosti, ktoré patrí na každú knižnicu
Bezpečnosť
- 8 návykov vysoko bezpečných vzdialených pracovníkov
- Ako nájsť a odstrániť spyware z telefónu
- Najlepšie služby VPN: Ako sa porovnáva 5 najlepších?
- Ako zistiť, či ste zapojený do porušenia ochrany údajov - a čo robiť ďalej
5-krokový plán na prepracovanie kybernetickej bezpečnosti organizácie: