Los analistas del equipo IBM X-Force Threat Intelligence siguen de cerca a una de las amenazas de Internet más recientes. Inesperadamente, el Troyano bancario Dridex volvió a renovar su actividad. IBM anunció que se ha desarrollado una cuarta versión de este malware y que está más determinada que nunca a realizar su labor. Desde la primera aparición de Dridex en 2014, con cada nueva actualización, el malware evolucionó ligeramente de su forma original.
Aunque, parece que la operación del Troyano bancario Dridex no es tan diferente de su versión 3.0 que fue publicada en abril de 2015. Incluso aunque Hidden VNC no esté siempre incorporado al plan, pero Dridex lo usa con éxito para implementar la creación de las conexiones con los huéspedes. Básicamente, la muestra nueva de Dridex, redirigirá a los usuarios a los sitios bancarios falsos a través de servidores proxy. La versión 4 difiere en un aspecto significativo: antes: Dridex insertaba códigos maliciosos en los dispositivos de la víctima. Ahora, parece haber cambiado y sube esos códigos a la memoria del huésped. Ya no tiene las llamadas Windows API como una prioridad e intenta probar una novedad innovadora y explosiva. Si la técnica Crear Amenaza Remota usaba API demasiado obviamente y daba más posibilidades a que las víctimas fuesen conscientes, este método nuevo es muy más secreto.
Además de las novedades mencionadas previamente, Dridex también se ha actualizado en un par de áreas diferentes. Ha mejorado la encriptación y se ha esforzado mucho en mantener su presencia como secreta. Se usa AtomBombing para el mismo propósito: para hacer incluso más complejo el detectar a Dridex en acción.
AtomBombing podría no parecerle familiar, pero se presentó por primera vez en 2016. Es mucho más fácil llevar a cabo la actividad de un Troyano bancario si estas amenazas malware aprovechan la ventaja de una estrategia que enSilo descubrió. No es necesaria ninguna llamada de una interfaz de programa, que normalmente es lo principal de los Troyanos bancarios. En lugar de la técnica antigua, los hackers ahora intentan hacerlo con AtomBombing. Básicamente se centra en las tablas atom de Windows y NtQueueApcThread para colocar la carga principal del Troyano en la memoria de lectura y escritura. Sin embargo, aquí es dónde la utilización de AtomBombing se para, ya que los hackers proceden con su propia interpretación única de la táctica. Usaron un enfoque diferente para obtener la validación para el proceso de ejecución.
Los Troyanos bancarios son extremadamente peligrosos, ya que su misión es robar información sensible de sus víctimas. Las credenciales para banca online son su objetivo principal. Si los hackers llegan a conseguir esa información, seguro que disfrutarán limpiando sus cuentas bancarias. Por suerte, hay ciertas técnicas que los servicios bancarios pueden usar para reforzar su seguridad.
Fuente: eweek.com.
Fuente: https://www.2-viruses.com/dridex-is-back-with-an-explosive-twist