Dridex está de volta com uma reviravolta explosiva!

 

A equipa de analistas da IBM X-Force Threat Intelligence mantém um registo das ameaças mais recentes da Internet. Inesperadamente, o trojan bancário Dridex emergiu e renovou a sua atividade mais uma vez. A IBM anunciou que uma quarta versão deste malware foi desenvolvida e está mais determinada que nunca em causar estragos. Desde o primeiro aparecimento do Dridex em 2014, com cada nova atualização, o malware desviou-se levemente daquilo para que foi criado originalmente.

Ainda assim, a operação que o trojan bancário Dridex não é assim tão diferente daquela que tinha na sua versão 3.0 que foi lançada em Abril de 2015. Apesar do Hidden VNC não estar sempre incorporado no plano, mas o Dridex normalmente utiliza-o para implementar com sucesso a criação de ligações a anfitriões. Basicamente, o novo exemplo do Dridex irá redirecionar os utilizadores infetados para sites bancários falsos através de um servidor proxy. A versão 4 difere num aspeto significativo: antes, o Dridex inseriu códigos maliciosos no dispositivo da vítima. Agora, parece ter mudado para carregar esses códigos na memória do anfitrião. Ele já não coloca a API do Windows como prioridade e tenta uma nova, explosiva reviravolta. Se a técnica de Criar Ameaça Remota utilizar a API de forma demasiado óbvia e der mais hipóteses às vítimas de serem alertadas, então o modelo novo será muito mais dissimulado.

Além das novidades anteriormente mencionadas, o Dridex também foi atualizado nalgumas outras áreas. Melhorou a encriptação e esforçou-se muito por manter a sua presença um segredo. O AtomBombing é utilizado para o mesmo propósito: para fazer com que seja ainda mais complexo reparar no Dridex em ação.

O Atombombing pode parecer pouco familiar, mas foi introduzido primeiro em 2016. É muito mais fácil esconder a atividade de um trojan bancário se estas ameaças malware se aproveitarem da estratégia que o ensilo descobriu. Nenhuma interface de programa ou aplicação é necessária que normalmente seja o principal ponto de entrada para trojans bancários. Em vez da técnica mais velha, os piratas informáticos estão agora a testar com o AtomBombing. Basicamente foca-se nas tabelas de átomos do Windows e na NtQueueApcThread para colocar a principal carga do Trojan na memória de leitura e escrita. Contudo, é aqui que a utilização do AtomBombing parou e os piratas informáticos procederam então com a sua interpretação única da tática. Eles usam uma abordagem diferente para obter validação para o processo de execução.

Os trojans bancários são extremamente perigosos uma vez que a sua missão é roubar informação sensível das suas vítimas. As credenciais para acesso a contas de bancos online são o alvo principal. Se os piratas informáticos conseguirem aceder a esta informação, irão certamente gostar de limpar a sua conta bancária. Felizmente, há algumas técnicas que os serviços bancários poderão explorar para fortalecer a sua segurança.

Fonte: eweek.com.

 
 
 
 

Deixar uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *