Home / Malware / Banking Malware / Vawtrak banking malware με νέες δυνατότητες!

Vawtrak banking malware με νέες δυνατότητες!

vawtrak
Banking Trojan Malware

Ένας ερευνητής ασφαλείας ανακάλυψε ορισμένα νέα χαρακτηριστικά στο άκρως επικίνδυνο malware Vawtrak, ή αλλιώς Neverequest, που επιτρέπουν την αποστολή και λήψη δεδομένων μέσα από κρυπτογραφημένα favicons που κυκλοφορούν στο δίκτυο Tor.

Ο Jakub Kroustek, που εργάζεται για την AVG, κοινοποίησε μια σε βάθος ανάλυση των νέων και σύνθετων χαρακτηριστικών του malware, που θεωρείται μια από τις σοβαρότερες τρέχουσες απειλές στον τομέα του κυβερνοεγκλήματος.

Το Vawtrak είναι ένα αρκετά εξελιγμένο κακόβουλο λογισμικό σε ότι αφορά τις δυνατότητές του. Είναι σε θέση να υποκλέψει τραπεζικά δεδομένα και να εκτελέσει συναλλαγές μέσω του «μολυσμένου» υπολογιστή εξ αποστάσεως, χωρίς μάλιστα να αφήσει πίσω του «ίχνη». Μεταξύ των δυνατοτήτων του είναι η λήψη screenshot και η καταγραφή βίντεο, ενώ δεν πρέπει να μας εκπλήσσει η δυνατότητα επιθέσεων τύπου man-in-the-middle που διαθέτει.

Πως εξαπλώνεται το Vawtrak;

Η εταιρεία AVG προειδοποιεί τους χρήστες ότι έχει ανακαλύψει μια καμπάνια διαμοιρασμού του Vawtrak, ώστε οι κυβερνοεγκληματίες να μπορούν να αποκτήσουν πρόσβαση σε τραπεζικούς λογαριασμούς τους οποίους επισκέπτεται το θύμα και ταυτόχρονα, με τη χρήση του διαβόητου Pony, να υποκλέπτουν credentials των χρηστών – θυμάτων.

Το banking Trojan Vawtrak εξαπλώνεται με ένας από τους ακόλουθους τρεις τρόπους:

  • Καθοδηγούμενο download μέσω συνημμένων αρχείων σε email ή συνδέσμους προς «μολυσμένους» ιστοτόπους,
  • Μέσω malware downloader, όπως το Zemot ή το Chaintor,
  • Μέσω exploit kit, όπως το Angler.

Οι πιο πρόσφατες δυνατότητες

Σύμφωνα με τον ερευνητή Kroustek, το Vawtrak χρησιμοποιεί το proxy Tor2Web για να λάβει ενημερώσεις από τους δημιουργούς του, μέσω σύνδεσης στους αντίστοιχους servers και χωρίς τη χρήση ειδικού λογισμικού. Η επικοινωνία μάλιστα με τους servers γίνεται μέσω SSL.

Τα πιο πρόσφατα δείγματα του Vawtrak χρησιμοποιούν «στεγανογραφία» (steganography) για να αποκρύψουν τα αρχεία ενημέρωσης μέσα σε favicons, ώστε να συγκαλυφθούν τα κακόβουλα downloads. Τα favicons είναι οι μικρές εικόνες που χρησιμοποιούνται από τις ιστοσελίδες δίπλα στον τίτλο της καρτέλας στον περιηγητή ή όταν κατά την προσθήκη ενός ιστοτόπου στα αγαπημένα του browser μας.

Μόλις γίνει η εκτέλεση του λογισμικού στη συσκευή του θύματος, το Vawtrak προβαίνει στα ακόλουθα:

  • Απενεργοποιεί το λογισμικό antivirus
  • Εισάγει συγκεκριμένο κώδικα σε ιστότοπο που επισκέπτεται ο χρήστης (αυτό συνδέεται κυρίως με το online banking)
  • Υποκλέπτει κωδικούς πρόσβασης, ψηφιακά πιστοποιητικά, το ιστορικό του περιηγητή και τα cookies
  • Παρακολουθεί τις δραστηριότητες του θύματος (με key logging, screenshots ή ακόμα και καταγραφή video)
  • Δημιουργεί απομακρυσμένη πρόσβαση στη συσκευή του χρήστη (VNC, SOCKS)
  • Πραγματοποιεί αυτόματες ενημερώσεις.

Το Vawtrak το συναντάμε – μέχρι τώρα – σε τρεις περιηγητές: Internet Explorer, Firefox και Google Chrome. Ωστόσο, υποστηρίζει την υποκλοπή κωδικών και μέσω άλλων περιηγητών.

Ποιες χώρες επηρεάζονται;

Σύμφωνα με τα στατιστικά στοιχεία της AVG, το Vawtrak επηρεάζει χρήστες παιχνιδιών, ιστοσελίδων κοινωνικής δικτύωσης και τραπεζικών λογαριασμών κυρίως στις Ηνωμένες Πολιτείες Αμερικής, το Ηνωμένο Βασίλειο και τη Γερμανία. Ωστόσο, έχουν ανιχνευθεί κρούσματα και στην Αυστραλία, τη Νέα Ζηλανδία αλλά και άλλες χώρες της Ευρώπης.

Χρήσιμο
Ευανάγνωστο

User Rating: 4.9 ( 1 votes)

About CyberG

Check Also

Κακόβουλο λογισμικό στοχεύει σε τραπεζικά δεδομένα γερμανόφωνων χρηστών

Κρούει τον κώδωνα του κινδύνου η Microsoft για μια νέα παραλλαγή malware που στοχεύει σε …

Leave a Reply

Your email address will not be published. Required fields are marked *