• admin

Metamorfo: il potente malware che ruba i dati bancari e altri dati personali all'utente

Agisce principalmente attraverso file Office manipolati, sfruttando la tecnica di hijacking dei file DLL



I ricercatori di Bitdefender, azienda leader mondiale nella sicurezza informatica che protegge oltre 500 milioni di sistemi in tutto il mondo, hanno recentemente individuato una massiccia campagna malware bancario tramite il trojan banker Metamorfo, che si concentra in modo particolare in Brasile e che agisce principalmente attraverso file di Office manipolati con macro come allegati spam. Metamorfo è un malware potente, la cui capacità principale è il furto di informazioni bancarie e altri dati personali dall'utente.


I criminali informatici alle spalle di questa campagna sono famosi per eludere le difese protettive, con il loro caratteristico modus operandi che ruota attorno alla tecnica Dynamic-Link Library (DLL) hijacking. Questa tecnica permette di nascondere la presenza del malware sul sistema ed elevare i suoi privilegi sul computer forzando così un'applicazione ad eseguire codice di terze parti semplicemente scambiando una library con una dannosa. 


Infatti, solitamente le applicazioni legittime sono firmate in modo diverso con un Certificato di autenticità. Un file eseguibile con firma autenticata appare meno sospetto agli utenti quando vengono richiesti privilegi elevati. Le aziende a volte configurano in modo errato il loro sistema di rilevamento delle intrusioni per consentire alle applicazioni con firma digitale di funzionare indisturbate, ignorando il loro comportamento dannoso. Alcune soluzioni antimalware probabilmente non avvieranno l’analisi del file eseguibile presumendo che provenga da una fonte affidabile.


Inoltre, la campagna Matamorfo permette l’esecuzione di processi da file memorizzati in posizioni non comuni (una sottocartella con un nome casuale che si trova nella library dell'utente pubblico - Documenti, Musica, Immagini, Video, ProgramData o Download) con nomi apparentemente casuali ed estensioni insolite come .SCR o .PIF. 


Durante il periodo in cui ha monitorato la campagna Metamorfo, Bitdefender ha individuato 5 diversi componenti software, di proprietà di Avira, AVG e Avast, Damon Tools, Steam e NVIDIA, colpiti dall'attacco. Poiché alcuni componenti di questi prodotti caricano file DLL senza assicurarsi della loro legittimità il codice dannoso viene caricato ed eseguito da un processo affidabile senza destare sospetti nell'utente. Inoltre, alcune soluzioni di sicurezza non sono in grado di rilevare il codice dannoso o di bloccare la comunicazione a livello di firewall, poiché il processo di avvio viene probabilmente classificato come affidabile.

Anche se i vendor colpiti sono stati avvisati e hanno corretto le vulnerabilità, gli hacker possono ancora utilizzare le vecchie vulnerabilità per continuare a sfruttarle. Per bloccare l'attacco, le aziende devono mettere in black list i componenti vulnerabili con il vendor del sistema operativo o revocare il certificato utilizzato per firmare i componenti interessati.


Il whitepaper su Metamorfocon tutti i dettagli approfonditi in merito, è disponibile qui.




Fonte Bitdefender: https://www.bitdefender.it/news/metamorfo:-il-potente-malware-che-ruba-i-dati-bancari-e-altri-dati-personali-all&039;utente-3853.html

2 visualizzazioni

Enigma Defense S.r.l.

P.IVA 10609041008 | +39 06 8881 6605 | info@enigmadefense.it | enigmadefense@messaggipec.it

Sede Legale: Via Gino Capponi, 116 - 00179 Roma RM

Sede Operativa: Via Appia Nuova, 669 - 00179 Roma RM

©2019 by Enigma Defense Srl. All rights reserved.