Η Sophos Labs, σε μία νέα έκθεση της προειδοποιεί ότι στα χέρια κυβερνοεγκληματιών βρίσκεται μία νέα έκδοση του τραπεζικού κακόβουλου λογισμικού που ήταν υπεύθυνο για μία σειρά επιθέσεων σε χρηματοπιστωτικά ιδρύματα σε πολλές χώρες σε όλο τον κόσμο την χρονιά που μας πέρασε.
Το Vawtrak –γνωστό και ως NeverQuest και Snifula- κυκλοφορεί εδώ και μερικά χρόνια τώρα, ωστόσο συνεχίζει να ευημερεί ως ένα δημοφιλές crimeware-as-a-service kit που χρησιμοποιείται από αρκετές κυβερνοεγκληματικές ομάδες.
Η ανάλυση αυτού που με απλά λόγια ονομάζουμε Vawtrak version 2 της SophosLabs δείχνει ότι οι συγγραφείς του malware εισήγαγαν μία σειρά από νέες καινοτομίες στο κακόβουλο λογισμικό, ενώ παράλληλα το ενημερώνουν συχνά για να καλύψουν την ζήτηση και τις απαιτήσεις ώστε να παραμείνει μπροστά τεχνολογικά από τις υφιστάμενες άμυνες.
Η SophosLabs είδε το Vawtrak version 2 να εξαπλώνεται μέσω ψεύτικων μηνυμάτων ηλεκτρονικού ταχυδρομείου που υποτίθεται ότι είναι ειδοποιήσεις παράδοσης προϊόντων/ αγαθών ενώ επιπλέον κατεβαίνει σε υπολογιστές που είναι ήδη μολυσμένοι με το malware Pony.
Στο μεσοδιάστημα από την προηγούμενη ερευνητική εργασία της SophosLabs για το Vawtrak, νέες τράπεζες και κυβερνητικοί οργανισμοί αποτέλεσαν στόχους, και έγιναν πολλές εκστρατείες σε διάφορες χώρες όπως στις ΗΠΑ, στον Καναδά, στο Ηνωμένο Βασίλειο, στην Ιαπωνία και στο Ισραήλ με τις ΗΠΑ να αποτελούν τον μεγαλύτερο στόχο.
Στην προηγούμενη ανάλυση της SophosLabs σχετικά με το Vawtrak, οι χώρες Γερμανία και Πολωνία αποτελούσαν τους κορυφαίους στόχους του κακόβουλου λογισμικού, ωστόσο αυτή την φορά δεν παρατηρείται σε αυτές τις χώρες ιδιαίτερη δραστηριότητα από την δεύτερη έκδοση του κακόβουλου λογισμικού.
Αυτή η αλλαγή, στην γεωγραφική θέση των στόχων ενδεχομένως σημαίνει ότι οι πελάτες του crimeware-as-a-service Vawtrak version 2 δεν ενδιαφέρονται πλέον για αυτές τις χώρες.
Οι καινοτομίες στην έκδοση 2 του Vawtrak
Οι developers του Vawtrak έκαναν σημαντικές προσπάθειες να βελτιώσουν το κακόβουλο λογισμικό στην δεύτερη έκδοση του, για να μπερδέψουν τις άμυνες και να προκαλέσουν σύγχυση στους ερευνητές ασφαλείας. Σύμφωνα με την SophosLabs, το Vawtrak version 2 περιλαμβάνει ορισμένες αναβαθμίσεις που “σπάνε” τα υπάρχοντα εργαλεία που χρησιμοποιούνται για την ανάλυση του malware:
“Αυτές οι αλλαγές περιλαμβάνουν την αύξηση των επιπέδων συσκότισης και αλλαγές στην κρυπτογράφηση που χρησιμοποιείται… το κίνητρο για τις αλλαγές είναι μία προσπάθεια να σπάσουν τα σημερινά εργαλεία που ενδέχεται να ενσωματώνουν αλγόριθμους που χρησιμοποιήθηκαν από προηγούμενα δείγματα του Vawtrak”.
Η SophosLabs επίσης ανακάλυψε ότι οι συγγραφείς του Vawtrak έκαναν την δεύτερη έκδοση του κακόβουλου λογισμικού να έχει μικρότερο ίχνος σε σχέση με το αρχικό φορτίο που χρησιμοποιούσαν για την μόλυνση. Αυτή η περισσότερο λιτή έκδοση του Vawtrak θα μπορούσε να επιτρέψει στους συγγραφείς να εισαγάγουν νέα προηγμένα χαρακτηριστικά με την μορφή αρθρωμάτων.
Για μία περισσότερο τεχνική ανάλυση της έκδοσης 2 του Vawtrak, κατεβάστε την έρευνα της SophosLabs.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο εδώ.