Peneliti keamanan telah menemukan varian baru dari Dridex - salah satu Trojan perbankan paling jahat yang aktif menargetkan sektor keuangan - ". AtomBombing" dengan teknik kode injeksi canggih baru dan memiliki kemampuan mengelak
Pada hari Selasa, Magal Baz, peneliti keamanan di Trusteer IBM mengungkapkan penelitian baru, mengekspos Dridex versi baru 4, yang merupakan versi terbaru dari Trojan keuangan yang terkenal dan memiliki kemampuan baru.
Dridex adalah salah satu Trojan yang paling terkenal yang menunjukkan perilaku khas pemantauan lalu lintas korban ke situs bank dengan infiltrasi PC korban menggunakan macro yang tertanam dalam dokumen Microsoft atau melalui serangan web injeksi dan kemudian mencuri kredensial perbankan online dan data keuangan.
Namun, dengan memasukkan kemampuan AtomBombing, Dridex menjadi sampel pertama malware yang pernah memanfaatkan teknik kode injeksi canggih untuk menghindari deteksi.
Apa itu Teknik "AtomBombing" ?
Teknik injeksi kode versi sebelumnya Dridex Trojan telah menjadi terlalu umum dan mudah dikenali oleh antivirus dan solusi keamanan lainnya.
Tapi karena teknik AtomBombing adalah pendekatan yang berbeda untuk kode injeksi yang tidak bergantung pada mudah mendeteksi panggilan API yang digunakan oleh versi Dridex tua, memanfaatkan AtomBombing dalam versi Dridex terbaru membuat sulit bagi antivirus untuk mendeteksi.
Awalnya terlihat pada bulan Oktober oleh Tal Liberman dari perusahaan keamanan enSilo, AtomBombing adalah teknik injeksi kode yang dapat memungkinkan penyerang untuk menyuntikkan kode berbahaya pada setiap versi OS Microsoft Windows, bahkan Windows 10, dengan cara yang tidak ada tools anti-malware yang dapat mendeteksi .
AtomBombing tidak mengeksploitasi kerentanan tapi pelanggaran sistem-tingkat Atom Tabel, fitur Windows yang memungkinkan aplikasi untuk menyimpan informasi pada string, objek, dan jenis data untuk mengakses secara teratur.
Seorang penyerang dapat menulis kode berbahaya ke dalam tabel atom dan trik aplikasi yang sah dan mengambilnya dari meja untuk melakukan tindakan berbahaya pada hampir semua sistem operasi Windows dirilis dalam 16 tahun terakhir.
Dridex Versi 4 Ditemukan
Menurut peneliti IBM X-Force, Dridex perbankan Trojan baru-baru ini menjalani upgrade versi utama, sekarang mendukung AtomBombing.
Tapi penulis malware yang membuat Dridex v4 berbeda dari serangan AtomBombing lain - para penyerang menggunakan "teknik AtomBombing untuk penulisan payload, kemudian menggunakan metode yang berbeda untuk mencapai hak akses eksekusi, dan untuk pelaksanaan itu sendiri."
"Aliran berbeda dari yang dijelaskan dalam teknik AtomBombing. Untuk mendapatkan payload ke dalam ruang memori executable, Dridex hanya menyebut NtProtectVirtualMemory dari proses penyuntikan mengubah memori di mana payload sudah ditulis ke dalam RWX," peneliti X-Force kata .
Sejak menggunakan panggilan APC untuk payload akan sangat mencurigakan dapat dideteksi dan dihentikan, Dridex v4 menggunakan "metode GlobalGetAtomW sama dengan GlobalGetAtomA, mengaitkan itu dan mengeksekusi payload."
Para peneliti mengatakan v4 Dridex baru sudah digunakan dalam kampanye aktif terhadap bank-bank Eropa, dan itu hanya masalah waktu sebelum hacker mulai menargetkan lembaga keuangan Amerika juga.
perangkat lunak dan keamanan produk antivirus sekarang dapat menerapkan sistem mereka untuk melacak dan mencegah serangan Dridex v4 sejak temuan IBM yang tersedia untuk semua.
Untuk penjelasan lebih rinci dan kerja teknis dari versi terbaru dari Dridex Trojan, Anda dapat kepala ke posting blog IBM.
0komentar:
Post a Comment