Il Trojan bancario Vawtrak diviene una sorta di meccano e rafforza i propri meccanismi di protezione

Come hanno rilevato i ricercatori di Sophos, il Trojan bancario Vawtrak è stato sottoposto a sostanziali modifiche; si può parlare, a tutti gli effetti, della comparsa di una nuova versione del malware. Facendo riferimento al nuovo report stilato dalla società specializzata in sicurezza IT, Help Net Security scrive, a tal proposito, che gli autori di Vawtrak hanno perfezionato lo schema di codifica, innalzando, al tempo stesso, il livello di offuscamento del codice, ed accentuando sensibilmente le caratteristiche di modularità del Trojan-Banker. Si è ugualmente ampliata l’estensione geografica dei bersagli presi di mira dal Trojan; Vawtrak, difatti, non si concentra più solo su target americani e britannici. Il malware in questione, adesso, attacca in egual misura anche istituti bancari situati in Canada, Irlanda, Giappone, Repubblica Ceca, Romania e Israele.

Il banker Vawtrak, alias Snifula e Neverquest, ha fatto la sua comparsa in Rete circa tre anni fa; da allora, viene costantemente migliorato. Esso viene offerto sul mercato nero del cybercrimine in veste di servizio; proprio per questo, Vawtrak può essere distribuito in vari modi. Il più delle volte, tuttavia, si ricorre, per la diffusione del Trojan, all’utilizzo di allegati maligni inseriti nei messaggi di spam. Le e-mail dannose, abitualmente, vengono mascherate sotto forma di notifiche relative al mancato recapito di qualche spedizione postale, oppure alla ricezione di un nuovo fax, o di una fattura; i messaggi di posta malevoli presentano sempre, in qualità di allegato, un documento Word. Al momento dell’apertura del file allegato, viene richiesto all’utente-vittima di attivare la macro; se quest’ultimo segue tali istruzioni, sul computer sottoposto ad attacco si genera il download di Pony, malware specializzato, tra l’altro, nel carpire le credenziali. Questo Trojan si caratterizza, in particolar modo, per il fatto di essere spesso utilizzato per scaricare ulteriori programmi malware; nel caso specifico, una volta realizzato il furto delle credenziali custodite nelle applicazioni client, esso provvede, dietro apposito comando, a caricare Vawtrak sul computer-vittima.

L’analisi condotta sulla versione 2 del banker ha evidenziato che Vawtrak, adesso, occupa meno spazio sul disco, ed è provvisto di un’architettura modulare completa, la quale consente al Trojan di poter agevolmente ampliare le proprie funzionalità, su ogni macchina infetta. Al momento attuale, tuttavia, il malware fa uso esclusivamente dei moduli standard, attraverso i quali possono essere sottratti i certificati, la cronologia del browser ed i cookie da Firefox e Chrome; allo stesso modo, il Trojan è in grado di effettuare delle web injection nei processi del browser, etc.

I virus writer hanno ugualmente rafforzato i meccanismi di protezione di cui è dotato Vawtrak, utilizzati per contrastare il reverse engineering. “Molte delle stringhe presenti nel file binario, in precedenza distinguibili come semplice testo, risultano ora criptate, – osservano i ricercatori. – Le stringhe codificate vengono poi decifrate dinamicamente, in base alle specifiche esigenze. Si tratta di una tecnica piuttosto comune, utilizzata da un’ampia varietà di programmi malware, proprio allo scopo di ostacolare l’analisi”.

L’interazione di Vawtrak 2 con i relativi server di comando e controllo avviene, così come in precedenza, sulla base del protocollo HTTP. Gli elenchi dei domini riservati ai C&C, tuttavia, vengono modificati di frequente; in alternativa, il malware può ricevere gli stessi direttamente dalla rete Tor, sebbene tale funzionalità, secondo i dati raccolti da Sophos, non sia attualmente utilizzata.

“Tutti i moduli, e tutti gli aggiornamenti, sono provvisti di firma digitale, così come lo erano nella versione 1, – riferiscono gli esperti. – La loro autenticità viene verificata mediante l’utilizzo di una chiave pubblica, incorporata nel codice binario”. Un elemento di particolare interesse è rappresentato dal fatto che la chiave pubblica, utilizzata nell’ambito della nuova versione di Vawtrak, risulta essere la stessa per tutti i sample, come in precedenza. Questo ha indotto i ricercatori a ritenere che il controllo totale sulla relativa botnet sia esercitato da un’unica entità cybercriminale.

La sostituzione di uno dei server C&C di Vawtrak 1, attraverso il metodo “sinkhole”, ha consentito a Sophos di individuare un nuovo cluster nell’Asia Orientale. A giudicare dal file di configurazione, gli obiettivi principali del Trojan sono costituiti dalle banche e da altre istituzioni finanziarie; Vawtrak è comunque in grado di attaccare ugualmente alcune imprese commerciali che effettuano vendite al dettaglio online, le società operanti nel settore delle telecomunicazioni ed i social network.

Fonte: Helpnetsecurity

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *