Как обнаружили в Sophos, банковский троянец Vawtrak был подвергнут значительным модификациям, позволяющим говорить о появлении новой версии этого зловреда. Как пишет Help Net Security, ссылаясь на новый отчет ИБ-компании, авторы Vawtrak усовершенствовали схему шифрования, повысили уровень обфускации кода и модульность. Расширилась также география мишеней троянца, он перестал фокусироваться на американских и британских мишенях и ныне в равной мере атакует банки Канады, Ирландии, Японии, Чехии, Румынии и Израиля.

Банкер Vawtrak, он же Snifula и Neverquest, появился в Сети около трех лет назад и с тех пор постоянно совершенствуется. Он предлагается на черном рынке как услуга, поэтому может распространяться различными способами, но чаще всего для этого используются вредоносные вложения в спам.

Вредоносные письма обычно имитируют уведомление о недоставке почтового отправления, новом факсе или инвойсе и снабжены документом Word. При открытии такого вложения пользователю предлагается включить макрос; если он последует этой инструкции, на машину загрузится похититель паролей Pony. Этот троянец примечателен тем, что часто используется для загрузки других зловредов; в данном случае после кражи учетных данных из клиентских приложений он по команде грузит Vawtrak.

Анализ версии 2 банкера показал, что он теперь занимает меньше места на диске и имеет полноценную модульную архитектуру, позволяющую с легкостью расширять его функциональность на каждой зараженной машине. На настоящий момент зловред использует лишь типовые модули, позволяющие воровать сертификаты, историю браузера и куки из Firefox и Chrome, производить веб-инъекции и т.п.

Также была усилена защита Vawtrak от реверс-инжиниринга. «Многие строки в бинарнике, ранее различимые как открытый текст, теперь зашифрованы, — отмечают исследователи. — Те строки, которые теперь зашифрованы, расшифровываются динамически по мере нужды. Это стандартная техника, используемая самыми разными зловредами для затруднения анализа».

Обмен Vawtrak 2 с командными серверами по-прежнему осуществляется по HTTP. При этом списки C&C-доменов часто меняются, а в качестве альтернативы зловред может их получать напрямую из Tor, хотя в настоящее время эта функциональность, по данным Sophos, не используется.

«Все модули и обновления снабжены цифровой подписью, как это было и в версии 1, — рассказывают эксперты. — Их подлинность проверяется с помощью публичного ключа, внедренного в бинарный код». Примечательно, что публичный ключ, используемый обновленным Vawtrak, как и прежде, одинаков для всех сэмплов. Это навело исследователей на мысль, что общий контроль над ботнетом осуществляет одна-единственная группировка.

Подмена одного из C&C-серверов Vawtrak 1 по методу sinkholing позволила Sophos обнаружить новый кластер в Восточной Азии. Судя по конфигурационному файлу, основными мишенями троянца являются банки и другие финансовые институты, хотя он способен также атаковать некоторых ритейлеров, телекоммуникационные компании и социальные сети.

Категории: Аналитика, Вредоносные программы