Vawtrak nowa odsłona niebezpiecznego malware

W grudniu 2014 roku, Sophos Labs opublikował dokument, w którym wyjaśnia w jaki sposób cyber-przestępcy sprytnie zaadaptowali na potrzeby swoich rozliczeń ideę rozwiązania „Pay As You Go”, czyli system rozliczeń, w którym płacisz za faktycznie zrealizowaną usługę.

Rynek cyber-przestępczy świadczy swoje usługi od lat, pisząc złośliwe oprogramowanie na zamówienie, wyszukując i sprzedając luki w oprogramowaniu itd. Czasy się zmieniły i podejście do tematu cyber-przestępczości również i dlatego w obecnych czasach coraz popularniejsze staje się korzystanie z usługi Crmeware-as-a-Service – CaaS.

Przestępcy świadczący usługi CaaS trzymają swoje „produkty” tylko dla siebie, podobnie jak cały know-how wraz ze sposobami, które wykorzystują do zainfekowania potencjalnych ofiar. Zamiast sprzedawać konkretny rodzaj złośliwego oprogramowania, dostarczają konkretne dane – zgodnie z ustalonymi warunkami, przykładowo: N skradzionych haseł od X użytkowników banku Y z kraju Z.

Oznacza to nie mniej nie więcej, że „klienci” CaaS płacą tylko i wyłącznie za rezultaty, bez konieczności poznania, zrozumienia zasad przeprowadzania skutecznych ataków. Pay as you go – wypisz wymaluj. O tym „Czego szukają hakerzy i jaka jest cena Twoich danych?” można dowiedzieć się z naszego artykułu.

Web injects, co to takiego?

Web injects to sposób wykorzystywany przez złośliwe oprogramowanie działające w między innymi w obszarze bankowym, którego doskonałym przykładem jest Vawtrack – wykradający dane użytkowników kont bankowych.

Tradycyjny phishing polega na podstawieniu Ci fałszywej strony internetowej Twojego banku w nadziei, że wprowadzisz swoje dane i dzięki temu zostaną one skradzione.

Vawtrack wykorzystując web injects działa zupełnie inaczej – czeka aż odwiedzisz prawdziwą stronę bankową, tak aby wskaźniki bezpieczeństwa Twojej przeglądarki były poprawne. W ostatnim momencie, złośliwe oprogramowanie dokonuje modyfikacji kodu witryny Twojego banku lub innej przeglądanej strony. Kończy się to przechwyceniem Twoich danych, poprzez podstawienie fałszywych pól w wyświetlanej witrynie – jest to zdecydowanie bardziej zaawansowany sposób od tradycyjnego phishingu.

Ransomware przyćmiewa jednak wszystko.

Niestety tak, ostatnimi czasy temat IT security został zdominowany przez ransomware, które jest bezlitosne dla użytkowników zainfekowanych przez nie urządzeń. Nieszczęśliwcy zostają postawieni przed wyborem, zapłacić i odzyskać dostęp do swoich danych, czy też nie płacić i utracić wszystko. W rezultacie możemy ulec złudzeniu, że zagrożenie typu web injetcs i banking malware odchodzi w zapomnienie. Może się to okazać bardzo złudne – w ostatnim czasie światło dzienne ujrzał Vawtrak w nowej, udoskonalonej wersji. I jak zwykle namieszał…

Vawtrak v2

Vawtrak w nowej odsłonie to jeszcze bardziej zwodnicze oprogramowanie odpowiedzialne za ataki na instytucje finansowe na całym świecie. Jego twórcy wprowadzili w nim szereg innowacji, które mają na celu zaspokoić popyt i jednocześnie oszukać powstałe po zneutralizowaniu pierwszej wersji zabezpieczenia.

To złośliwe oprogramowanie rozprzestrzenia się poprzez spam – między innymi w mailach podających się za zawiadomienia o dostarczeniu przesyłek, jest umieszczane na komputerach już zainfekowanych wirusem Pony, czy przez wirusy umieszczone w makrach.

Od czasu opisania działania ostatniej wersji tego oprogramowania, nowe banki i kraje zostały obrane jako cel Vawtraka ze szczególnym uwzględnieniem USA, Kanady, Wielkiej Brytanii, Japonii i Izraela. Wcześniejsze analizy wykazały, że głównymi celami wcześniejszej wersji były Niemcy i Polska. Przy okazji obecnych badań specjaliści z Sophos Labs nie odnotowali znaczącej aktywności nowej wersji w tych dwóch krajach.

Twórcy Vawtraka dołożyli wielu starań aby nowa wersja ich produktu znacznie skomplikowała i tym samym utrudniła życie firmom tworzącym zabezpieczenia. Według Sophos Labs, Vawtrak w nowej wersji zawiera pewne rozwiązania, które wykluczają z użycia istniejące narzędzia wykorzystywane do analizy złośliwego oprogramowania. Zwrócono również uwagę na odchudzoną wielkość tego oprogramowania, która może umożliwić jego autorom wprowadzenie dodatkowych, bardziej zaawansowanych funkcji wdrażanych jako swego rodzaju moduły w zależności od wybranego celu. Jeśli chcecie zapoznać się z dokładnym raportem na temat Vawtraka odsyłamy Was do SophosLabs research paper.

Źródło