Il trojan agisce prevalentemente file Office manipolati con macro e inviati come allegati spam

Trojan bancari, IceID entra per la prima volta nella top ten

È stata recentemente individuata una massiccia campagna malware bancario – concentrata prevalentemente in Brasile – tramite il trojan banker Metamorfo, che agisce principalmente attraverso file di Office manipolati con macro come allegati spam. Metamorfo è un malware potente, la cui capacità principale è il furto di informazioni bancarie e altri dati personali dall’utente.

I criminali informatici alle spalle di questa campagna sono famosi per eludere le difese protettive, con il loro caratteristico modus operandi che ruota attorno alla tecnica Dynamic-Link Library (DLL) hijacking [1]. Questa tecnica permette di nascondere la presenza del malware sul sistema ed elevare i suoi privilegi sul computer forzando così un’applicazione ad eseguire codice di terze parti semplicemente scambiando una library con una dannosa.

Bitdefender è riuscita a individuare questo attacco in quanto uno o più potenziali aggressori hanno optato nell’eseguire azioni dannose all’interno di processi lanciati da file eseguibili firmati digitalmente invece lanciare semplicemente eseguibili e script dannosi.

Infatti, solitamente le applicazioni legittime sono firmate in modo diverso con un Certificato di autenticità. Un file eseguibile con firma autenticata appare meno sospetto agli utenti quando vengono richiesti privilegi elevati. Le aziende a volte configurano in modo errato il loro sistema di rilevamento delle intrusioni per consentire alle applicazioni con firma digitale di funzionare indisturbate, ignorando il loro comportamento dannoso. Alcune soluzioni antimalware probabilmente non avvieranno l’analisi del file eseguibile presumendo che provenga da una fonte affidabile.

Inoltre, la campagna Matamorfo permette l’esecuzione di processi da file memorizzati in posizioni non comuni (una sottocartella con un nome casuale che si trova nella library dell’utente pubblico – Documenti, Musica, Immagini, Video, ProgramData o Download) con nomi apparentemente casuali ed estensioni insolite come .SCR o .PIF.

Durante il periodo in cui ha monitorato la campagna Metamorfo, Bitdefender ha individuato 5 diversi componenti software, di proprietà di Avira, AVG e Avast, Damon Tools, Steam e NVIDIA, colpiti dall’attacco. Poiché alcuni componenti di questi prodotti caricano file DLL senza assicurarsi della loro legittimità il codice dannoso viene caricato ed eseguito da un processo affidabile senza destare sospetti nell’utente. Inoltre, alcune soluzioni di sicurezza non sono in grado di rilevare il codice dannoso o di bloccare la comunicazione a livello di firewall, poiché il processo di avvio viene probabilmente classificato come affidabile.

Anche se i vendor colpiti sono stati avvisati e hanno corretto le vulnerabilità, gli hacker possono ancora utilizzare le vecchie vulnerabilità per continuare a sfruttarle. Per bloccare l’attacco, le aziende devono mettere in black list i componenti vulnerabili con il vendor del sistema operativo o revocare il certificato utilizzato per firmare i componenti interessati.

Il whitepaper con tutti i dettagli approfonditi in merito, è disponibile qui.