В последние несколько месяцев AVG Technologies фиксирует активизацию банковского троянца Vawtrak, известного также под именами Neverquest и Snifula. Анализируя один из свежих образцов, исследователь Якуб Крустек (Jakub Kroustek) обнаружил новый функционал, позволяющий банкеру напрямую загружать из сети Tor данные, закодированные в фавиконах.

Vawtrak распространяется разными способами: через ссылки/вложения в спаме, с помощью даунлоудеров (Upatre, Chanitor) или эксплойт-паков (Angler, Neutrino). Он, как и многие другие банкеры, умеет проводить MitM- и MitB-атаки, красть регистрационные данные из разных клиентов и браузеров (с помощью модуля Pony), регистрировать нажатия клавиш, делать снимки экрана, осуществлять захват видео, а также создавать удаленный доступ к зараженной машине через VPN или SOCKS Proxy и автоматически обновляться. Зловред также способен блокировать запуск антивирусов с помощью Software Restriction Policies (SRP), штатного механизма Windows, позволяющего создавать белые списки для разрешенных программ.

Новый вариант банкера, обнаруженный Крустеком, примечателен тем, что получает обновления, используя Tor2Web-прокси. «Он может запрашивать обновления, размещенные на скрытых веб-сервисах Tor, без установки специализированного софта, такого как Tor Browser, — пишет исследователь. — Более того, весь обмен с удаленным сервером осуществляется по SSL-каналам».

Новый Vawtrak также использует стеганографию, пряча свои обновления в фавиконы (иконки сайтов, отображаемые браузером во вкладках). По словам Крустека, размер такого маскировочного фавикона составляет лишь пару килобайт, но этого вполне достаточно, чтобы скрыть файл с апдейтом и цифровой подписью.

С недавних пор Vawtrak атакует не только клиентов онлайн-банков, но также посетителей игровых сайтов, интернет-магазинов и социальных сетей. В текущем году  высокую зараженность AVG пока регистрирует в Чехии, США, Великобритании и Германии. Обнаружить зловреда, по свидетельству экспертов, помогает его слишком агрессивное для банкера поведение в зараженной системе.

Категории: Вредоносные программы, Главное