Si chiama Metamorfo il malware scovato dai ricercatori di Bitdefender, responsabile di una massiccia campagna che ha preso di mira in particolare l’ambito bancario concentrando la propria azione prevalentemente nel territorio brasiliano. La diffusione del codice maligno è avvenuta soprattutto attraverso documenti Office appositamente manipolati e distribuiti via email.
L’azione del malware Metamorfo
La sua azione è ritenuta in grado di mettere a repentaglio dati finanziari e personali attraverso il furto di informazioni attuato mediante pratiche capaci di eludere i sistemi di difesa più comuni, impiegando la tecnica del DLL hijacking così da nascondere il proprio operato, acquisendo privilegi e forzando un software a eseguire codice di terze parti, il tutto scambiando una libreria legittima con una compromessa ad hoc.
I ricercatori sono stati in grado di identificare Metamorfo poiché i responsabili dell’attacco non si sono limitati a lanciare eseguibili e script dannosi, ma si sono spinti fino a interessare processi gestiti da file firmati digitalmente. Ancora, la campagna ha fatto leva su file memorizzati in posizioni non comuni, ad esempio una sottocartella con nome casuale nella libreria dell’utente (Documenti, Musica, Immagini, Video, ProgramData o Download), talvolta con estensioni insolite (SCR o PIF).
Cinque software appartenenti ad Avira, AVG e Avast, Damon Tools, Steam e NVIDIA sono stati colpiti poiché utilizzavano file DLL senza prima accertarne la legittimità.
Anche se i vendor colpiti sono stati avvisati e hanno corretto le vulnerabilità, gli hacker possono ancora utilizzare le vecchie vulnerabilità per continuare a sfruttarle. Per bloccare l’attacco, le aziende devono mettere in black list i componenti vulnerabili con il vendor del sistema operativo o revocare il certificato utilizzato per firmare i componenti interessati.
Maggiori approfondimenti su Metamorfo sono consultabili nel whitepaper pubblicato da Bitdefender e raggiungibile attraverso il link a fondo articolo.