臭名昭著银行木马程序Vawtrak再度出现,主要针对金融服务公司,该木马程序像俄罗斯套娃般有多层复杂性,并通过各种复杂的战术来给企业构成威胁。
丹麦网络安全公司Heimdal Security最近发现在加拿大15家金融机构接连遭受攻击,超过15000台机器受到影响。Heimdal称,最新版本的Vawtrak能够捕捉视频和截图,并使用中间人攻击来捕获未加密流量。
由于其相互依赖性和复杂性,Fortinet研究人员Raul Alvarez把这个类似Zeus的银行木马的分层可执行文件比作俄罗斯套娃。
“每个‘娃娃’(可执行的二进制文件)都有自己的一套算法和功能,导致生成下一个可执行文件,”Alvarez在博客中写道,“每个二进制文件(除了最后一个)对下一个文件的产生发挥着重要的作用。”
根据Alvarez称,第一个可执行二进制文件(外层娃娃)从其覆盖部分产生第二个可执行二进制文件,而第二个可执行二进制文件(第二个娃娃)则解压缩大块数据来生成第三个可执行二进制文件。第三个可执行二进制文件(第三个娃娃)利用其资源部分生成最终的可执行二进制文件(最里面的娃娃)。
“第一、二和三层像是包装,”Alvarez称,“它们包裹着第四层—这可能是其他任何恶意软件。”
Alvarez解释说攻击者可能使用另一个Vawtrak作为第四层。这种分层做法在理论上可以无限制地进行下去,创造某种非常复杂的金融恶意软件。
Vawtrak被AVG Technologies公司分析师Jakub K?oustek比作是其攻击者的瑞士军刀,因为该木马具有非常广泛的功能。
根据Koustek的AVG白皮书显示,Vawtrak支持窃取多种类型基于互联网或本地存储的登录凭证;在用户显示网页(网上银行)注入自定义代码;监视用户(键盘记录、截屏、捕获视频);对用户机器创建远程访问(VNC、SOCKS);以及自动更新。
Vawtrak最早出现在日本;在停止一段时间后,它出现在美国、德国、捷克、英国和加拿大。Heimdal Security公司还报告称该攻击的命令控制中心似乎位于俄罗斯。Vawtrak通过下载收藏夹图标来传播,收藏夹图表是包含病毒的微小的jpeg图像。
“Vawtrak使用隐写术来将更新列表隐藏在更新服务器中收藏夹图表内,” Koustek写道,“因此,这个下载乍一看似乎没有什么可疑。每个收藏夹图表的大小仅约为4KB,但这足以携带以最低有效位隐藏的更新文件。”
Vawtrak是针对金融机构的复杂僵尸网络和先进恶意软件的最新例证。根据PhishLabs的研究人员表示,最近对知名金融木马的打击行动在不经意间为创新的新金融恶意软件(例如Vawtrak)提供了传播机会。
作者:Maxim Tamarov
来源:51CTO