A quanto pare il nuovo malware Dyer sta bypassando SSL per far scorrere le credenziali bancarie. Ho letto che utilizza "hook di processo" per agganciare i browser e vedere i dati PRIMA che sono crittografati e inviati al server di banca (utilizzando le chiavi dall'handshake SSL iniziale). Qualcuno può elaborare come questo è stato raggiunto? e questo è allo stesso livello di minaccia di un keylogger che cattura le tue battute o è più nascosto e pericoloso?
Quando un'applicazione "usa SSL", carica effettivamente una DLL di sistema che implementa il protocollo. Ogni processo mantiene, in una zona specifica del suo spazio indirizzo, l'elenco delle DLL che ha già caricato e dove (questo è sotto la gestione del linker dinamico); un malware che può essere eseguito sul tuo sistema con sufficienti privilegi locali semplicemente entrerà in queste strutture di memoria in modo che quando l'applicazione vuole caricare l'implementazione SSL, viene effettivamente reindirizzato a una DLL controllata da malware. Il malware inoltrerà fedelmente tutte le chiamate alla vera DLL di implementazione SSL, ma conserverà anche una copia dei dati.
Tutte queste manipolazioni sono nella RAM e quindi non lasciano traccia permanente. Naturalmente, il malware deve ancora "esserci" e vuole resistere ai riavvii, quindi normalmente lascerà un aggancio da qualche parte, modificando una DLL di sistema o un eseguibile in modo che venga richiamato di nuovo quando la macchina si riavvia.
(Nessuno sa perché una specifica vulnerabilità o malware diventa improvvisamente la notizia più importante in un decennio e scatena un panico in tutto il mondo, mentre dozzine di virus simili o addirittura più pericolosi volano semplicemente con un "meh" collettivo da un pochi specialisti. Il caso "heartbleed" è un buon esempio di un bug che diventa virale senza alcun motivo percepibile.)