Malware bancario Zeus Sphinx aggiornato, è più pericoloso

Il malware finanziario è stato aggiornato con nuove configurazioni e chiavi di crittografia. È strutturato per acquisire credenziali.

Autore: Redazione SecurityOpenLab

Il Trojan bancario Zeus Sphinx sta ricevendo frequenti aggiornamenti al suo arsenale malevolo. Viene distribuito in campagne di phishing a tema coronavirus, cercando di capitalizzare le paure sulla pandemia. L'allarme è stato lanciato dal ricercatore di IBM Security Nir Shwarts, che sta monitorando l'evoluzione del malware, basato sul codice del noto Trojan Zeus v.2.

Per chi non lo conoscesse, Zeus Sphinx è noto anche come Zloader o Terdot. È in circolazione dal 2015, quando fu usato per una serie di attacchi ai danni delle banche statunitensi. Poi è sostanzialmente scomparso dalla scena criminale, se non calcoliamo una manciata di campagne minori. Ora è tornato in auge più forte di prima, ed è protagonista sia dei classici attacchi contro le banche, sia di campagne di phishing che sfruttano il tema COVID -19.

A quest'ultimo proposito, IBM ha documentato un'ondata di attacchi in cui il trojan si annida nei documenti di phishing. Tipicamente si maschera dietro a informazioni relative ai finanziamenti per gli enti di soccorso. Il contagio avviene tramite un allegato malevolo. Il campanello d'allarme è la richiesta di abilitare le macro per una corretta visualizzazione del contenuto. È chiaramente un tentativo di bypassare una delle più importanti azioni antiphishing. Ed è una richiesta a cui non acconsentire mai.
Chi acconsente, avvia la distribuzione del malware che aggiunge una chiave di esecuzione al registro di Windows. È un metodo molto comune per mantenere la persistenza.

Il malware è progettato per acquisire credenziali, come dati bancari o nomi utente e password di account per i servizi online. Questo particolare malware inoltre utilizza tecniche di iniezione del browser, inserendo codice dannoso in explorer.exe e nei processi del browser. Così facendo può reindirizzare le vittime a domini fraudolenti quando tentano di visitare siti Web finanziari.

Zeus Sphinx inoltre crea un processo autonomo, denominato msiexec.exe che simula un programma legittimo, così da rimanere invisibile. A gennaio 2020 alcune varianti si appoggiavano a server di comando e controllo (C2) e usavano una chiave RC4 per crittografare le comunicazioni. Una variante successiva include un diverso set di chiavi RC4, un set più piccolo e diverso di C2 e un nuovo ID variante.

Chiarito che questa minaccia è meno diffusa di trojan come TrickBot, il DNA Zeus alla base di Sphinx è un attivatore di frodi bancarie. Per questo le istituzioni finanziarie devono fare i conti con il suo ritorno.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.