Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Una nuova versione del famigerato trojan bancario Dridex
- MERCOLEDÌ 1 MARZO 2017


Cos'è un trojan bancario?
La parola "trojan" deve la sua origine all'espressione “cavallo di troia”: infatti è un programma apparentemente inutile e innocuo che però può nascondere al suo interno qualsiasi altra cosa. In particolare il Trojan bancario ha come scopo quello di rubare i dati bancari sensibili della vittima per ottenere l'accesso ai conti.

Dridex...
Dridex è un trojan bancario osservato per la prima volta nel luglio 2014 che ha riscosso moltissimo successo perché è un BaaS (botnet-as-a-service), un vero e proprio servizio in cui gli operatori della botnet vendono le sue capacità e le sue funzioni a diversi cyber-criminali, dando vita così a svariate sotto-botnet, ognuna identificata da un numero e ognuna contenente uno specifico elenco di banche da attaccare. 

Il suo maggiore periodo di attività è stato tra il 2014 e il 2015. In seguito vi sono state piccole campagne durante tutto il 2016, con un unico picco rilevatosi a maggio. Il 25 gennaio 2017 è stata lanciata una nuova campagna nel Regno Unito.


I generale Drindex è composto da due moduli: il modulo iniziale scarica quello principale, che diffonde l'infezione. Ma Dridex è uno dei pochi trojan che ha diverse versioni, che vengono mano a mano affinate per renderlo sempre più efficace e sempre più capace di nascondersi dai software antivirus. Nel dettaglio giusto qualche giorno fa è stata individuata la versione 4.0 del trojan. 

Come attacca ... 
Un attacco tipico di Dridex arriva alla macchina della vittima attraverso email di spam che contengono allegati infetti. Generalmente gli allegati sono documenti Word. Una volta scaricato e aperto l'allegato, la macro incorporata scarica il payload che infetta il pc. La particolarità di Dridex è che ha contato su campagne di diffusione di vastissima scala: si parla di milioni di email inviati per la diffusione del trojan. 
La versione 4.0 invece presenta una grossa novità, che rende questo trojan ancora più pericoloso: è cambiata cioè la modalità di diffusione. Non più campagne di spam, ora Dridex usa l'AtomBombing..

AtomBombing: cosa è?
Cercando di spiegarlo nella maniera più semplice e meno tecnica possibile, questa ultima versione sfrutta le atom tables per iniettare pezzi di codice dannoso entro un programma, con buonissime probabilità di riuscire ad aggirare i controlli degli antivirus. Perché questa scelta? Semplicemente perché il funzionamento delle atom tables è uno dei fulcri dell'architettura di Windows e questo rende praticamente impossibile pensare ad una patch in grado di bloccare un attacco di questo tipo. 

Altre caratteristiche della v.4.0
L'ultima versione ha affinato le tecniche di irrintracciabilità per "passare sotto il naso" degli antivirus e non farsi riconoscere. Inoltre ha migliorato il sistema di crittografia che usa per proteggere i dati della configurazione del trojan (ad esempio gli URL delle banche che prende di mira). Oltre a questo, Dridex sposta un eseguibile dalla cartella system32 ad'un altra e inserisce nella stessa cartella na DLL col suo codice: poi fa si che ad ogni avvio, Windows richiami quella DLL infetta. Così il trojan passa inosservato ai controlli in fase di avvio. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

P.IVA: 05345670482
Telefono: 055430352
distribuito da
© 2021 nwk - Privacy Policy - Cookie Policy - Login