Vawtrak – cyberzagrożenie dla instytucji finansowych – Polska wśród zaatakowanych krajów

Vawtrak znany również jako NeverQuest i Snifula wstrzykuje DLL do procesów przeglądarki. Podczas odwiedzania ukierunkowanych adresów URL, Vawtrak wstawia dodatkowy kod na stronie internetowej. Jest on używany do różnych celów w tym do omijania dwóch czynników uwierzytelniania, próby zainfekowania ofiary, składnikiem szkodliwego malware na urządzenia mobilne czy inicjowania automatycznego transferu z konta ofiary, a następnie ukrywanie dowodu transferu.

Wektory infekcji

Vawtrak jest zazwyczaj dostarczany na 3 sposoby, jako: ładunek do exploitu, wiadomość spamowa lub pobranie bezpośrednie złośliwego oprogramowania. Kampanie spamowe zwykle przypominają wiadomości wysyłane przez organizacje finansowe do swoich klientów, aby uruchomić exploit, użytkownik musi wejść w interakcje ze złośliwą wiadomością. Drugi typ ataku – exploit kit polega na wyświetlaniu strony wcześniej bezpieczniej jako zagrożonej. Następuje tutaj złośliwe przekierowanie w celu implementacji zarażonego skryptu, zawierającego ładunek z Vawtrakiem. Trzeci typ zarażenia, następuje poprzez pobranie złośliwego oprogramowania Vawtrak poprzez jego nieświadomą instalację.

Anty Antywirus

Vawtrak próbuje wyłączyć aktywny program antywirusowy przez użycie funkcji zabezpieczeń systemu Windows nazwanej,, Software Restriction Policies7″. Jeśli jakieś oprogramowanie znajduje się w systemie na zakodowanej liście, a następnie tworzony jest na siłę wpis rejestru, aplikacja może działać z ograniczonymi uprawnieniami.

Polska i Niemcy celami ataku Vawtrak

Laboratorium Sophos będzie badać osobno każdy cel ataku, opisując na które banki były skierowane działania cyberprzestępców oraz jakie typy zainfekowanego kodu były stosowane ze względu na lokalizację geograficzną.

Pierwszym celem ataku został ukierunkowany na dwóch krajach – Polsce i Niemczech.

Pełna wersja raportu tutaj.

Źródło: Sophos