Malware bancario Zeus Sphinx aggiornato, è più pericoloso
Il malware finanziario è stato aggiornato con nuove configurazioni e chiavi di crittografia. È strutturato per acquisire credenziali.
Il Trojan bancario Zeus Sphinx sta ricevendo frequenti aggiornamenti al suo arsenale malevolo. Viene distribuito in campagne di phishing a tema coronavirus, cercando di capitalizzare le paure sulla pandemia. L'allarme è stato lanciato dal ricercatore di IBM Security Nir Shwarts, che sta monitorando l'evoluzione del malware, basato sul codice del noto Trojan Zeus v.2.
Per chi non lo conoscesse, Zeus Sphinx è noto anche come Zloader o Terdot. È in circolazione dal 2015, quando fu usato per una serie di attacchi ai danni delle banche statunitensi. Poi è sostanzialmente scomparso dalla scena criminale, se non calcoliamo una manciata di campagne minori. Ora è tornato in auge più forte di prima, ed è protagonista sia dei classici attacchi contro le banche, sia di campagne di phishing che sfruttano il tema COVID -19.
A quest'ultimo proposito, IBM ha documentato un'ondata di attacchi in cui il trojan si annida nei documenti di phishing. Tipicamente si maschera dietro a informazioni relative ai finanziamenti per gli enti di soccorso. Il contagio avviene tramite un allegato malevolo. Il campanello d'allarme è la richiesta di abilitare le macro per una corretta visualizzazione del contenuto. È chiaramente un tentativo di bypassare una delle più importanti azioni antiphishing. Ed è una richiesta a cui non acconsentire mai.
Chi acconsente, avvia la distribuzione del malware che aggiunge una chiave di esecuzione al registro di Windows. È un metodo molto comune per mantenere la persistenza.
Il malware è progettato per acquisire credenziali, come dati bancari o nomi utente e password di account per i servizi online. Questo particolare malware inoltre utilizza tecniche di iniezione del browser, inserendo codice dannoso in explorer.exe e nei processi del browser. Così facendo può reindirizzare le vittime a domini fraudolenti quando tentano di visitare siti Web finanziari.
Zeus Sphinx inoltre crea un processo autonomo, denominato msiexec.exe che simula un programma legittimo, così da rimanere invisibile. A gennaio 2020 alcune varianti si appoggiavano a server di comando e controllo (C2) e usavano una chiave RC4 per crittografare le comunicazioni. Una variante successiva include un diverso set di chiavi RC4, un set più piccolo e diverso di C2 e un nuovo ID variante.
Chiarito che questa minaccia è meno diffusa di trojan come TrickBot, il DNA Zeus alla base di Sphinx è un attivatore di frodi bancarie. Per questo le istituzioni finanziarie devono fare i conti con il suo ritorno.
Per chi non lo conoscesse, Zeus Sphinx è noto anche come Zloader o Terdot. È in circolazione dal 2015, quando fu usato per una serie di attacchi ai danni delle banche statunitensi. Poi è sostanzialmente scomparso dalla scena criminale, se non calcoliamo una manciata di campagne minori. Ora è tornato in auge più forte di prima, ed è protagonista sia dei classici attacchi contro le banche, sia di campagne di phishing che sfruttano il tema COVID -19.
A quest'ultimo proposito, IBM ha documentato un'ondata di attacchi in cui il trojan si annida nei documenti di phishing. Tipicamente si maschera dietro a informazioni relative ai finanziamenti per gli enti di soccorso. Il contagio avviene tramite un allegato malevolo. Il campanello d'allarme è la richiesta di abilitare le macro per una corretta visualizzazione del contenuto. È chiaramente un tentativo di bypassare una delle più importanti azioni antiphishing. Ed è una richiesta a cui non acconsentire mai.
Chi acconsente, avvia la distribuzione del malware che aggiunge una chiave di esecuzione al registro di Windows. È un metodo molto comune per mantenere la persistenza.Il malware è progettato per acquisire credenziali, come dati bancari o nomi utente e password di account per i servizi online. Questo particolare malware inoltre utilizza tecniche di iniezione del browser, inserendo codice dannoso in explorer.exe e nei processi del browser. Così facendo può reindirizzare le vittime a domini fraudolenti quando tentano di visitare siti Web finanziari.
Zeus Sphinx inoltre crea un processo autonomo, denominato msiexec.exe che simula un programma legittimo, così da rimanere invisibile. A gennaio 2020 alcune varianti si appoggiavano a server di comando e controllo (C2) e usavano una chiave RC4 per crittografare le comunicazioni. Una variante successiva include un diverso set di chiavi RC4, un set più piccolo e diverso di C2 e un nuovo ID variante.
Chiarito che questa minaccia è meno diffusa di trojan come TrickBot, il DNA Zeus alla base di Sphinx è un attivatore di frodi bancarie. Per questo le istituzioni finanziarie devono fare i conti con il suo ritorno.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Set 10
Kaspersky - NIS 2 last call, tutto quello che ti serve sapere... prima che sia troppo tardi
Set 16
ASUS Business Roadshow - Roma
Set 19
CORSO DI CERTIFICAZIONE OMADA OCNA LITE - Roma
Set 19
APETECH 3D - RoadShow by Elmec 3D - Firenze
Set 24
Corso tecnico DataCore SanSymphony per ottenere la certificazione DCIE
Set 26
Road to NIS2 - Bari
Set 26
APETECH 3D - RoadShow by Elmec 3D - Torino
Ott 01
CORSO DI CERTIFICAZIONE OMADA OCNA LITE - Cagliari
Ott 02
Computer Gross - AI & XSP SUMMIT
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
