Vawtrak – cyberzagrożenie dla instytucji finansowych – Polska wśród zaatakowanych krajów
Vawtrak jest malware dedykowanym do kradzieży informacji, służącym głównie do uzyskiwaniu dostępu do rachunków bankowych za pośrednictwem witryn internetowych banków. Maszyny zarażone Vawtrakiem stają się częścią botnetu, który kolektywnie przechwytuje dane logowania internetowych kont, szczególnie sektora finansowo - bankowego. Skradzione poświadczenia są używane w połączeniu z wstrzykniętym kodem i buforowane przez urządzenia ofiary do inicjacji fałszywych przelewów na rachunki bankowe, kontrolowane przez administratorów botnetu Vawtrak.
Vawtrak znany również jako NeverQuest i Snifula wstrzykuje DLL do procesów przeglądarki. Podczas odwiedzania ukierunkowanych adresów URL, Vawtrak wstawia dodatkowy kod na stronie internetowej. Jest on używany do różnych celów w tym do omijania dwóch czynników uwierzytelniania, próby zainfekowania ofiary, składnikiem szkodliwego malware na urządzenia mobilne czy inicjowania automatycznego transferu z konta ofiary, a następnie ukrywanie dowodu transferu.
Wektory infekcji
Vawtrak jest zazwyczaj dostarczany na 3 sposoby, jako: ładunek do exploitu, wiadomość spamowa lub pobranie bezpośrednie złośliwego oprogramowania. Kampanie spamowe zwykle przypominają wiadomości wysyłane przez organizacje finansowe do swoich klientów, aby uruchomić exploit, użytkownik musi wejść w interakcje ze złośliwą wiadomością. Drugi typ ataku – exploit kit polega na wyświetlaniu strony wcześniej bezpieczniej jako zagrożonej. Następuje tutaj złośliwe przekierowanie w celu implementacji zarażonego skryptu, zawierającego ładunek z Vawtrakiem. Trzeci typ zarażenia, następuje poprzez pobranie złośliwego oprogramowania Vawtrak poprzez jego nieświadomą instalację.
Anty Antywirus
Vawtrak próbuje wyłączyć aktywny program antywirusowy przez użycie funkcji zabezpieczeń systemu Windows nazwanej,, Software Restriction Policies7″. Jeśli jakieś oprogramowanie znajduje się w systemie na zakodowanej liście, a następnie tworzony jest na siłę wpis rejestru, aplikacja może działać z ograniczonymi uprawnieniami.
Polska i Niemcy celami ataku Vawtrak
Laboratorium Sophos będzie badać osobno każdy cel ataku, opisując na które banki były skierowane działania cyberprzestępców oraz jakie typy zainfekowanego kodu były stosowane ze względu na lokalizację geograficzną.
Pierwszym celem ataku został ukierunkowany na dwóch krajach – Polsce i Niemczech.
Pełna wersja raportu tutaj.
Źródło: Sophos