La minaccia in ambito finanziario del Trojan Dridex4

News
La minaccia in ambito finanziario del Trojan Dridex4

Bogdan Botezatu, Senior Security Analyst di Bitdefender, spiega il funzionamento di un malware che sfrutta le AtomBomb di Microsoft

All’inizio del 2017 è stata rilevata una nuova variante del Trojan Dridex4. La scorsa settimana si è verificato un attacco in ambito finanziario che ha sfruttato proprio il nuovo malware. CERT Italia ha messo in allerta l’intero settore, evidenziando alcune caratteristiche sull’incidente.

A differenza delle versioni precedenti di Dridex, questa nuova variante sfrutta un nuovo meccanismo d’infezione che adotta la tecnica dell’AtomBombing, una novità rispetto ai classici meccanismi impiegati in passato.

La minaccia in ambito finanziario del Trojan Dridex4
La minaccia in ambito finanziario del Trojan Dridex4

Bogdan Botezatu, Senior Security Analyst di Bitdefender, spiega il funzionamento di un malware che sfrutta le AtomBomb di Microsoft: “Il Trojan Dridex4 si inserisce in altri processi attivi all’interno del sistema operativo, riuscendo dunque ad eludere ogni genere di controllo tradizionale. Questo approccio gli consente di aggirare le restrizioni a livello di processi, dando la possibilità di catturare immagini del desktop, permettendo inoltre di eseguire attacchi ‘man-in-the-browser’”.

Per incorporare il suo codice in altri processi, Dridex4 usa una nuova tecnica, chiamata AtomBombing. Questo meccanismo si basa su un difetto di progettazione che colpisce tutte le edizioni del sistema operativo Microsoft Windows. Al momento la vulnerabilità progettuale non è stata ancora sanata con una patch di sistema.

Poiché questa tecnica usa gli elementi costitutivi legittimi del sistema operativo Windows, le soluzioni anti-malware, che di solito si focalizzano sulla prevenzione delle infezioni, non sono in grado di riconoscere questo tipo di attacco.

Attualmente la tecnologia HVI di Bitdefender è una delle poche soluzioni capace di ridurre l’impatto di un attacco mirato che sfrutta questa vulnerabilità.
Hypervisor Introspection di Bitdefender è stata pensato appositamente per individuare e stoppare interazioni anomale a livello di hypervisor, mettendo in sicurezza le virtual machine presenti all’interno dell’infrastruttura virtuale.

Concentrandosi sulle tecniche di attacco e non sulla singola minaccia, Bitdefender HVI può intercettare e proteggere il sistema operativo da attacchi di tipo zero-day, exploit generati da difetti di progettazione applicativa o da altre minacce non comunemente visibili dalla tecnologia anti-malware convenzionale.

Autore: Channelbiz
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore