Trojan banker, Bitdefender mette in guardia contro Metamorfo

Agisce attraverso file Office manipolati e sfrutta la tecnica di hijacking dei file DLL.

Trojan banker

I ricercatori di Bitdefender hanno recentemente individuato una massiccia campagna malware bancario tramite il trojan banker Metamorfo, che si concentra in modo particolare in Brasile, Metamorfo agisce principalmente attraverso file di Office, manipolati con macro come allegati spam. Metamorfo è un malware potente, la cui capacità principale è il furto di informazioni bancarie e altri dati personali dall’utente.

Trojan banker

I criminali informatici alle spalle di questa campagna sono famosi per eludere le difese protettive, con il loro caratteristico modus operandi che ruota attorno alla tecnica Dynamic-Link Library (DLL) hijacking .Questa tecnica permette di nascondere la presenza del malware sul sistema ed elevare i suoi privilegi sul computer. Si riesce così a forzare un’applicazione ad eseguire codice di terze parti semplicemente scambiando una library con una dannosa.

Bitdefender è riuscita a individuare questo attacco in quanto uno o più potenziali aggressori hanno optato nell’eseguire azioni dannose all’interno di processi lanciati da file eseguibili firmati digitalmente invece lanciare semplicemente eseguibili e script dannosi.
Infatti, solitamente le applicazioni legittime sono firmate in modo diverso con un Certificato di autenticità. Un file eseguibile con firma autenticata appare meno sospetto agli utenti quando vengono richiesti privilegi elevati.

Le aziende a volte configurano in modo errato il loro sistema di rilevamento delle intrusioni per consentire alle applicazioni con firma digitale di funzionare indisturbate, ignorando il loro comportamento dannoso. Alcune soluzioni antimalware probabilmente non avvieranno l’analisi del file eseguibile presumendo che provenga da una fonte affidabile.

Inoltre, la campagna Matamorfo permette l’esecuzione di processi da file memorizzati in posizioni non comuni. A esempio una sottocartella con un nome casuale che si trova nella library dell’utente pubblico (Documenti, Musica, Immagini, Video, ProgramData o Download). Oppure con nomi apparentemente casuali ed estensioni insolite come .SCR o .PIF.

Trojan banker, la minaccia passa dalle DLL

Durante il periodo in cui ha monitorato la campagna Metamorfo, Bitdefender ha individuato 5 diversi componenti software (Avira, AVG e Avast, Daemon Tools, Steam e NVIDIA) colpiti dall’attacco.
Poiché alcuni componenti di questi prodotti caricano file DLL senza assicurarsi della loro legittimità, il codice dannoso viene caricato ed eseguito da un processo affidabile senza destare sospetti nell’utente.
Inoltre, alcune soluzioni di sicurezza non sono in grado di rilevare il codice dannoso o di bloccare la comunicazione a livello di firewall, poiché il processo di avvio viene probabilmente classificato come affidabile.

Anche se i vendor colpiti sono stati avvisati e hanno corretto le vulnerabilità, gli hacker possono ancora utilizzare le vecchie vulnerabilità per continuare a sfruttarle. Per bloccare l’attacco, le aziende devono mettere in black list i componenti vulnerabili con il vendor del sistema operativo o revocare il certificato utilizzato per firmare i componenti interessati.