Schädling Vawtrak vielschichtig wie eine Matrjoschka

Experten haben mehrere Schichten von Vawtrak seziert, einem relativ neuen Bank-Trojaner, der so komplex ist, dass er von den Wissenschaftlern mit einer Matrjoschka, der typisch russischen Steckpuppe, verglichen wird.

Virus Bulletin veröffentlichte eine Tiefenanalyse des Schädlings von Raul Alvarez, Sicherheitsexperte bei Fortinet.

Wie eine Reihe von Dominosteinen besteht Vawtrak aus mehreren Schritten, wobei jeder Schritt den jeweils nächsten auslöst. Die erste ausführbare Binärdatei ruft die zweite hervor, doch zuvor muss sie diese noch decodieren, indem sie ein Trio von API-Funktionen aufruft und einen großen Datenblock dechiffriert.

„Die oberste Schicht von Vawtrak enthält eine verschlüsselte Kopie der ausführbaren Binärdatei, die in der nächsten Schicht benutzt wird. Sie muss in den virtuellen Speicherraum des Schädlings weitergeleitet und entschlüsselt werden“, schreibt Alvarez.

Nach dem Aufruf einer anderen API-Funktion erstellt das Schadprogramm die Bilddatei „Diana-23.jpg“, damit der Anwender denkt, dass das das Einzige ist, was die ausführbare Datei tut.

Nachdem eine Reihe von Modulen analysiert und aus der zweiten Schicht des Schädlings noch weitere API-Funktionen aufgerufen wurden, wird die ausführbare Datei mainOUT-crypted-5 entschlüsselt und dekomprimiert. In diesem Moment, nach der Dekomprimierung, produziert der Schädling das, was Alvarez die „dritte Matrjoschka“ von Vawtrak nennt – eine ausführbare Datei, die die einfachste von allen vier Schichten ist.

Dieser Teil von Vawtrak ist überhaupt nicht geschützt, d.h. es wird kein Verschlüsselung und kein Hashing eingesetzt. Die dritte Hülle des Schädlings entfernt Softwareeinschränkungen und versucht Berechtigungen einzuschränken, die mit Antiviren-Anwendungen in Verbindung gebracht werden, die nach dem Schädling suchen.

Die vierte Schicht schließlich entschlüsselt – sofern alles nach Plan läuft – die Daten und erstellt einen dynamischen Bereich, der eine ausführbare Binärdatei, eine dll enthält, die als .dat getarnt und mit einem willkürlichen Dateinamen ausgestattet ist. Nach der Bereitstellung verwendet der Schädling zwei weitere API-Funktionen, RegCreateKeyA und RegSetValueExW, damit er auch nach einem Neustart aktiv bleibt.

Während von der Malware, über die erstmals Ende letzten Jahres berichtet wurde, zunächst angenommen wurde, dass sie sich gegen japanische Banken richtet, erklärte Alvarez nun, dass der Schädling „kürzlich seinen geografischen Spielraum ausgeweitet“ habe und in den letzten Monaten um einiges komplexer geworden sei.

„Die von Vawtrak demonstrierte Finesse und Fähigkeiten sind nicht einfach, sondern prägnant“, ergänzt Alvarez in seinem Fazit.

Im September erfuhren Experten, dass Vawtrak, der zu diesem Zeitpunkt unter dem Namen Neverquest bekannt war, sich so weit entwickelt hatte, dass er soziale Medien, Einzelhändler und Game-Portale angreifen konnte. Die jüngsten Konfigurationen ermöglichen es ihm, Online-Banking-Sitzungen abzufangen, Daten im Web-Traffic zu modifizieren, Verschlüsselung zu hacken, Kontodaten und andere wichtige Informationen zu stehlen.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.