News

Vawtrak wird zum Baukasten und verstärkt den Schutz

Wie die Forscher bei Sophos herausgefunden haben, wurde der Bank-Trojaner Vawtrak so einschneidenden Veränderungen unterworfen, dass man vom Erscheinen einer neuen Version dieses Schädlings sprechen kann. Wie Help Net Security mit Verweis auf den neuen Bericht des IT-Sicherheitsunternehmens schreibt, haben die Vawtrak-Autoren das Verschlüsselungsschema perfektioniert und die Obfuskaktion des Codes sowie den Modulcharakter des Trojaners verstärkt. Auch die Geografie seiner Ziele ist nicht mehr so eng gefasst wie zuvor – er fokussiert sich nun nicht mehr auf amerikanische und britische Banken, sondern greift in gleichem Maße Ziele in Kanada, Irland, Japan, Tschechien, Rumänien und Israel an.

Der Banker Vawtrak, alias Snifula und Neverquest, erschien erstmals vor ungefähr drei Jahren im Netz und wird seither immer weiter verbessert. Er wird auf dem Schwarzmarkt als Service angeboten, daher kann er auf unterschiedliche Arten verbreitet werden, doch am häufigsten kommt er über schädliche Spam-Anhänge in Umlauf. Diese schädlichen Mitteilungen kommen meist als Benachrichtigung über die Unzustellbarkeit einer Postsendung, ein neues Fax oder als Rechnung mit angehängtem Word-Dokument daher. Beim Öffnen dieses Dokuments wird der Nutzer aufgefordert, Makros zu aktivieren; leistet er dieser Aufforderung Folge, so wird der Passwort-Dieb Pony auf seinen Rechner geladen. Dieser Trojaner zeichnet sich dadurch aus, dass er häufig für den Download anderer Schädlinge eingesetzt wird; in diesem Fall lädt er – nachdem er Accountdaten aus den Clientanwendungen gestohlen hat – auf Befehl Vawtrak.

Eine Analyse der Version 2 des Bankers hat gezeigt, dass er jetzt weniger Platz auf der Festplatte einnimmt und über eine vollwertige modulare Architektur verfügt, die es ihm ermöglicht, seine Funktionalität auf jeder infizierten Maschine problemlos zu erweitern. Zum gegenwärtigen Zeitpunkt benutzt der Schädling nur gewöhnliche Module, die den Diebstahl von Zertifikaten, des Browserverlaufs und von Cookies aus Firefox und Chrome ermöglichen, die Webeinschleusungen vornehmen können usw.

Zudem wurde der Schutz vor Reverse Engineering in Vawtrak verstärkt. „Viele Strings, die früher in Klartext sichtbar waren, sind nun verschlüsselt“, erklären die Forscher. „Die Strings, die jetzt chiffriert sind, sind dynamisch verschlüsselt, je nach Bedarf. Das ist eine Standardtechnik, die von den unterschiedlichsten Schädlingen verwendet wird, um die Analyse zu erschweren.“

Die Kommunikation mit den Steuerungsservern wird auch bei Vawtrak 2 wie gehabt über http umgesetzt. Dabei ändert sich die Liste der C&C-Domains häufig, und als Alternative kann der Schädling sie auch direkt aus Tor erhalten, obwohl diese Funktionalität laut Sophos aktuell nicht genutzt wird.

„Alle Module und Updates sind mit einer digitalen Signatur ausgestattet, wie auch schon bei Version 1“, erzählen die Experten. „Ihre Echtheit wird mit Hilfe eines öffentlichen Schlüssels überprüft, der in den Binärcode eingebaut ist.“ Bemerkenswert ist, dass der vom aktualisierten Vawtrak verwendete öffentliche Schlüssel, wie auch schon früher, für alle Samples gleich ist. Das brachte die Forscher auf den Gedanken, dass eine einzige Gruppierung die allgemeine Kontrolle über das ganze Botnet innehat.

Durch den Austausch eines C&C-Servers von Vawtrak 1 durch einen Sinkhole-Server konnte Sophos einen neuen Cluster in Ostasien entdecken. Der Konfigurationsdatei nach zu urteilen sind die Hauptziele des Trojaners Banken und andere Finanzinstitute, obwohl er auch in der Lage ist, einige Einzelhändler, Telekommunikationsunternehmen und soziale Netzwerke anzugreifen.“

Quelle: Helpnetsecurity

Vawtrak wird zum Baukasten und verstärkt den Schutz

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach