AtomBombing es una técnica de inyección de código que podría permitir a los atacantes inyectar código malicioso en cada versión del sistema operativo Windows de Microsoft, incluso Windows 10
Los investigadores de seguridad han descubierto una nueva variante de Dridex, uno de los más nefastos troyanos bancarios que apunta activamente al sector financiero, con una nueva y sofisticada técnica de inyección de código y capacidades evasivas llamada "AtomBombing".
El martes, Magal Baz, investigador de seguridad de Trusteer IBM, reveló una nueva investigación exponiendo la nueva versión 4 de Dridex, que es la última versión del infame troyano financiero y sus nuevas capacidades.
Dridex es uno de los troyanos más conocidos que exhibe el comportamiento típico de monitorear el tráfico de una víctima a los sitios bancarios infiltrando computadoras víctimas usando macros incrustadas en documentos de Microsoft o a través de ataques de inyección web y robando credenciales bancarias y datos financieros en línea.
Sin embargo, al incluir las capacidades de AtomBombing, Dridex se convierte en la primera muestra de malware en utilizar esta sofisticada técnica de inyección de código para evadir la detección.
¿Qué es la técnica de "AtomBombing"?
Las técnicas de inyección de códigos de las versiones anteriores del troyano Dridex se han vuelto demasiado comunes y fáciles de detectar mediante antivirus y otras soluciones de seguridad.
Pero como la técnica de AtomBombing es un enfoque diferente de la inyección de código que no depende de las llamadas de API fáciles de detectar usadas por las versiones antiguas de Dridex, aprovechar AtomBombing en la última versión de Dridex dificulta la detección por los antivirus.
Inicialmente descubierta en octubre por Tal Liberman de la firma de seguridad enSilo, AtomBombing es una técnica de inyección de código que podría permitir a los atacantes inyectar código malicioso en cada versión del sistema operativo Windows de Microsoft, incluso Windows 10, de una manera que ninguna herramienta anti-malware existente puede detectar.
AtomBombing no explota ninguna vulnerabilidad, sino que abusa de las tablas Atom de nivel de sistema, una característica de Windows que permite a las aplicaciones almacenar información sobre cadenas, objetos y otros tipos de datos para acceder de forma regular.
Un atacante puede escribir código malicioso en una tabla Atom y engañar a las aplicaciones legítimas para que lo recuperen de la tabla y ejecutar acciones maliciosas en casi cualquier sistema operativo de Windows publicado en los últimos 16 años.
Dridex Versión 4 descubierto en la naturaleza
Según los investigadores de IBM X-Force, el troyano bancario de Dridex se sometió recientemente a una importante actualización de versión, que ahora soporta AtomBombing.
Pero el autor del malware sólo fue hasta la mitad del camino que hace Dridex v4 diferente de otros ataques AtomBombing - los atacantes utilizaron "la técnica de AtomBombing para la escritura de la carga útil (payload) y, a continuación, utilizar un método diferente para lograr los permisos de ejecución y para la ejecución en sí".
Para obtener la carga útil en un espacio de memoria ejecutable, Dridex simplemente llama a NtProtectVirtualMemory desde el proceso de inyección para cambiar la memoria donde la carga ya está escrita en RWX, dijeron los investigadores de X-Force.
Dado que el uso de una llamada APC a la carga útil habría sido muy sospechoso y podría ser detectado y detenido, Dridex v4 utiliza "el mismo método GlobalGetAtomW para parchear GlobalGetAtomA, enganchándolo para ejecutar la carga útil".
Los investigadores dijeron que el nuevo Dridex v4 ya está en uso en campañas activas contra los bancos europeos, y es sólo cuestión de tiempo antes de que los hackers comiencen a apuntar también a las instituciones financieras estadounidenses.
El software antivirus y los productos de seguridad ahora pueden implementar sus sistemas para rastrear y prevenir los ataques de Dridex v4, ya que los hallazgos de IBM están disponibles para todos.
Para una explicación más detallada y el funcionamiento técnico de la última versión del troyano Dridex, puedes dirigirte a la publicación en el blog de IBM.