News

Schädling Vawtrak vielschichtig wie eine Matrjoschka

Experten haben mehrere Schichten von Vawtrak seziert, einem relativ neuen Bank-Trojaner, der so komplex ist, dass er von den Wissenschaftlern mit einer Matrjoschka, der typisch russischen Steckpuppe, verglichen wird.

Virus Bulletin veröffentlichte eine Tiefenanalyse des Schädlings von Raul Alvarez, Sicherheitsexperte bei Fortinet.

Wie eine Reihe von Dominosteinen besteht Vawtrak aus mehreren Schritten, wobei jeder Schritt den jeweils nächsten auslöst. Die erste ausführbare Binärdatei ruft die zweite hervor, doch zuvor muss sie diese noch decodieren, indem sie ein Trio von API-Funktionen aufruft und einen großen Datenblock dechiffriert.

„Die oberste Schicht von Vawtrak enthält eine verschlüsselte Kopie der ausführbaren Binärdatei, die in der nächsten Schicht benutzt wird. Sie muss in den virtuellen Speicherraum des Schädlings weitergeleitet und entschlüsselt werden“, schreibt Alvarez.

Nach dem Aufruf einer anderen API-Funktion erstellt das Schadprogramm die Bilddatei „Diana-23.jpg“, damit der Anwender denkt, dass das das Einzige ist, was die ausführbare Datei tut.

Nachdem eine Reihe von Modulen analysiert und aus der zweiten Schicht des Schädlings noch weitere API-Funktionen aufgerufen wurden, wird die ausführbare Datei mainOUT-crypted-5 entschlüsselt und dekomprimiert. In diesem Moment, nach der Dekomprimierung, produziert der Schädling das, was Alvarez die „dritte Matrjoschka“ von Vawtrak nennt – eine ausführbare Datei, die die einfachste von allen vier Schichten ist.

Dieser Teil von Vawtrak ist überhaupt nicht geschützt, d.h. es wird kein Verschlüsselung und kein Hashing eingesetzt. Die dritte Hülle des Schädlings entfernt Softwareeinschränkungen und versucht Berechtigungen einzuschränken, die mit Antiviren-Anwendungen in Verbindung gebracht werden, die nach dem Schädling suchen.

Die vierte Schicht schließlich entschlüsselt – sofern alles nach Plan läuft – die Daten und erstellt einen dynamischen Bereich, der eine ausführbare Binärdatei, eine dll enthält, die als .dat getarnt und mit einem willkürlichen Dateinamen ausgestattet ist. Nach der Bereitstellung verwendet der Schädling zwei weitere API-Funktionen, RegCreateKeyA und RegSetValueExW, damit er auch nach einem Neustart aktiv bleibt.

Während von der Malware, über die erstmals Ende letzten Jahres berichtet wurde, zunächst angenommen wurde, dass sie sich gegen japanische Banken richtet, erklärte Alvarez nun, dass der Schädling „kürzlich seinen geografischen Spielraum ausgeweitet“ habe und in den letzten Monaten um einiges komplexer geworden sei.

„Die von Vawtrak demonstrierte Finesse und Fähigkeiten sind nicht einfach, sondern prägnant“, ergänzt Alvarez in seinem Fazit.

Im September erfuhren Experten, dass Vawtrak, der zu diesem Zeitpunkt unter dem Namen Neverquest bekannt war, sich so weit entwickelt hatte, dass er soziale Medien, Einzelhändler und Game-Portale angreifen konnte. Die jüngsten Konfigurationen ermöglichen es ihm, Online-Banking-Sitzungen abzufangen, Daten im Web-Traffic zu modifizieren, Verschlüsselung zu hacken, Kontodaten und andere wichtige Informationen zu stehlen.

Quelle:        Threatpost

Schädling Vawtrak vielschichtig wie eine Matrjoschka

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach