Vawtrak wird zum Baukasten und verstärkt den Schutz

Wie die Forscher bei Sophos herausgefunden haben, wurde der Bank-Trojaner Vawtrak so einschneidenden Veränderungen unterworfen, dass man vom Erscheinen einer neuen Version dieses Schädlings sprechen kann. Wie Help Net Security mit Verweis auf den neuen Bericht des IT-Sicherheitsunternehmens schreibt, haben die Vawtrak-Autoren das Verschlüsselungsschema perfektioniert und die Obfuskaktion des Codes sowie den Modulcharakter des Trojaners verstärkt. Auch die Geografie seiner Ziele ist nicht mehr so eng gefasst wie zuvor – er fokussiert sich nun nicht mehr auf amerikanische und britische Banken, sondern greift in gleichem Maße Ziele in Kanada, Irland, Japan, Tschechien, Rumänien und Israel an.

Der Banker Vawtrak, alias Snifula und Neverquest, erschien erstmals vor ungefähr drei Jahren im Netz und wird seither immer weiter verbessert. Er wird auf dem Schwarzmarkt als Service angeboten, daher kann er auf unterschiedliche Arten verbreitet werden, doch am häufigsten kommt er über schädliche Spam-Anhänge in Umlauf. Diese schädlichen Mitteilungen kommen meist als Benachrichtigung über die Unzustellbarkeit einer Postsendung, ein neues Fax oder als Rechnung mit angehängtem Word-Dokument daher. Beim Öffnen dieses Dokuments wird der Nutzer aufgefordert, Makros zu aktivieren; leistet er dieser Aufforderung Folge, so wird der Passwort-Dieb Pony auf seinen Rechner geladen. Dieser Trojaner zeichnet sich dadurch aus, dass er häufig für den Download anderer Schädlinge eingesetzt wird; in diesem Fall lädt er – nachdem er Accountdaten aus den Clientanwendungen gestohlen hat – auf Befehl Vawtrak.

Eine Analyse der Version 2 des Bankers hat gezeigt, dass er jetzt weniger Platz auf der Festplatte einnimmt und über eine vollwertige modulare Architektur verfügt, die es ihm ermöglicht, seine Funktionalität auf jeder infizierten Maschine problemlos zu erweitern. Zum gegenwärtigen Zeitpunkt benutzt der Schädling nur gewöhnliche Module, die den Diebstahl von Zertifikaten, des Browserverlaufs und von Cookies aus Firefox und Chrome ermöglichen, die Webeinschleusungen vornehmen können usw.

Zudem wurde der Schutz vor Reverse Engineering in Vawtrak verstärkt. „Viele Strings, die früher in Klartext sichtbar waren, sind nun verschlüsselt“, erklären die Forscher. „Die Strings, die jetzt chiffriert sind, sind dynamisch verschlüsselt, je nach Bedarf. Das ist eine Standardtechnik, die von den unterschiedlichsten Schädlingen verwendet wird, um die Analyse zu erschweren.“

Die Kommunikation mit den Steuerungsservern wird auch bei Vawtrak 2 wie gehabt über http umgesetzt. Dabei ändert sich die Liste der C&C-Domains häufig, und als Alternative kann der Schädling sie auch direkt aus Tor erhalten, obwohl diese Funktionalität laut Sophos aktuell nicht genutzt wird.

„Alle Module und Updates sind mit einer digitalen Signatur ausgestattet, wie auch schon bei Version 1“, erzählen die Experten. „Ihre Echtheit wird mit Hilfe eines öffentlichen Schlüssels überprüft, der in den Binärcode eingebaut ist.“ Bemerkenswert ist, dass der vom aktualisierten Vawtrak verwendete öffentliche Schlüssel, wie auch schon früher, für alle Samples gleich ist. Das brachte die Forscher auf den Gedanken, dass eine einzige Gruppierung die allgemeine Kontrolle über das ganze Botnet innehat.

Durch den Austausch eines C&C-Servers von Vawtrak 1 durch einen Sinkhole-Server konnte Sophos einen neuen Cluster in Ostasien entdecken. Der Konfigurationsdatei nach zu urteilen sind die Hauptziele des Trojaners Banken und andere Finanzinstitute, obwohl er auch in der Lage ist, einige Einzelhändler, Telekommunikationsunternehmen und soziale Netzwerke anzugreifen.“

Quelle: Helpnetsecurity

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.