Dridex obtiene la capacidad de inyección de código ‘AtomBombing’ para evadir la detección

Los investigadores de seguridad han descubierto una nueva variante de Dridex, uno de los troyanos bancarios más nefastos que ataca activamente al sector financiero, con una nueva y sofisticada técnica de inyección de código y capacidades evasivas llamadas » AtomBombing «.

Magal Baz, investigador de seguridad de Trusteer IBM reveló una nueva investigación, exponiendo la nueva versión 4 de Dridex, que es la última versión del infame troyano financiero y sus nuevas capacidades.

Dridex es uno de los troyanos más conocidos que exhibe el comportamiento típico de monitorear el tráfico de una víctima a sitios bancarios al infiltrarse en las PC de la víctima utilizando macros incrustadas en documentos de Microsoft o mediante ataques de inyección web y luego robando credenciales bancarias en línea y datos financieros.

Sin embargo, al incluir las capacidades de AtomBombing, Dridex se convierte en la primera muestra de malware que utiliza una técnica de inyección de código tan sofisticada para evadir la detección.

¿Qué es la técnica «AtomBombing»?

Las técnicas de inyección de código de versiones anteriores de Dridex Trojan se han vuelto demasiado comunes y fáciles de detectar con antivirus y otras soluciones de seguridad.

Pero dado que la técnica AtomBombing es un enfoque diferente para la inyección de código que no se basa en llamadas API fáciles de detectar utilizadas por las versiones antiguas de Dridex, aprovechar AtomBombing en la última versión de Dridex dificulta la detección de los antivirus.

Inicialmente descubierto en octubre por Tal Liberman de la firma de seguridad enSilo , AtomBombing es una técnica de inyección de código que podría permitir a los atacantes inyectar código malicioso en cada versión del sistema operativo Windows de Microsoft, incluso Windows 10, de manera que ninguna herramienta anti-malware existente pueda detectar .

AtomBombing no aprovecha ninguna vulnerabilidad, pero abusa de las Tablas Atom a nivel de sistema, una característica de Windows que permite que las aplicaciones almacenen información sobre cadenas, objetos y otros tipos de datos para acceder de forma regular.

Un atacante puede escribir código malicioso en una tabla Atom y engañar a las aplicaciones legítimas para que lo recuperen de la tabla para ejecutar acciones maliciosas en casi cualquier sistema operativo Windows de los últimos 16 años.

Dridex versión 4

Según los investigadores de IBM X-Force, el troyano bancario Dridex se sometió recientemente a una importante actualización de versión, ahora compatible con AtomBombing.

Dridex v4 es diferente de otros ataques de AtomBombing: los atacantes usaron «la técnica AtomBombing para escribir la carga útil, luego usaron un método diferente para lograr los permisos de ejecución y para la ejecución misma».

«El flujo difiere del descrito en la técnica AtomBombing. Para llevar la carga a un espacio de memoria ejecutable, Dridex simplemente llama a NtProtectVirtualMemory desde el proceso de inyección para cambiar la memoria donde la carga ya está escrita en RWX», dijeron los investigadores de X-Force .

Dado que usar una llamada APC a la carga útil habría sido muy sospechoso de que pudiera detectarse y detenerse, Dridex v4 usa «el mismo método GlobalGetAtomW para parchar GlobalGetAtomA, enganchándolo para ejecutar la carga útil».

Los investigadores dijeron que el nuevo Dridex v4 ya está en uso en campañas activas contra bancos europeos, y que solo es cuestión de tiempo antes de que los piratas informáticos comiencen a atacar también a las instituciones financieras estadounidenses.

El antivirus y los productos de seguridad ahora pueden implementar sus sistemas para rastrear y prevenir ataques Dridex v4 ya que los hallazgos de IBM están disponibles para todos.


¿Quieres aprender a programar de manera profesional?

 

Te invitamos a formar parte de Azul School donde vas a tener acceso a cursos profesionales con certificado. Además tienes acceso a una red social de programadores donde puedes conocer gente de tu ciudad o país.

 

Si quieres acceder a todas las funciones te regalamos un descuento del 75% usando este cupón (no vas a encontrar este descuento en ningún otro lugar) Cupón: azulweb y lo puedes cambiar aquí: Haz clic aquí para cambiar el cupón del 75%.

 

También puedes probar la plataforma de forma gratuita y obtener un curso gratuito aquí: Haz clic aquí para probar la plataforma de forma gratuita.


Ernesto Mota

Ernesto Mota

Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

También te podría gustar...

Deja una respuesta

Tu dirección de correo electrónico no será publicada.