Metamorfo, un troyano bancario que utiliza software legítimo para ejecutarse

Recomendados:  WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro  WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Metamorfo es una familia de troyanos bancarios activa desde mediados de 2018, que se propaga principalmente a través de archivos de Office manipulados con macros en archivos adjuntos de spam. Pues bien, investigadores de Bitdefender han descubierto una nueva campaña del malware que utiliza software legítimo, sobre todo soluciones antivirus, para ejecutarse en los dispositivos de sus víctimas.

El objetivo de este potente troyano es recopilar información de sus víctimas, incluyendo historial de navegación y capturas de pantalla, para hacerse con el dinero de las cuentas bancarias online. Para ello, Metamorfo utiliza una técnica llamada secuestro de DLL (biblioteca de enlace dinámico) para ocultar su presencia y elevar sus privilegios en el equipo de sus víctimas. Esta técnica permite que una aplicación ejecute código de terceros, simplemente intercambiando la DLL legítima por otra maliciosa, de manera que la aplicación afectada carga y ejecuta el código del hacker.

Durante el tiempo que Bitdefender ha monitorizado la campaña de Metamorfo ha detectado cinco componentes de software diferentes, fabricados por proveedores de software de confianza que han sido víctimas ​de este malware, tales como Avira, AVG y Avast, Damon Tools, Steam y NVIDIA. Si bien los proveedores han sido notificados y han solucionado las vulnerabilidades, los hackers aún pueden usar componentes antiguos para continuar el ataque. Para solucionarlo, los proveedores deben incluir en la lista negra los componentes vulnerables con el proveedor del sistema operativo o cancelar el certificado utilizado para firmar los componentes afectados.