Το Vawtrack, επίσης γνωστό και ως Snifula ή NeverQuest, είναι ένα από τα σημερινά, πιο δημοφιλή τραπεζικά trojans, στην τέταρτη θέση το 2015, σύμφωνα με την Symantec. Το trojan είναι διαθέσιμο ως ενοικιαζόμενη υπηρεσία στο Dark Web με τη μορφή μιας Malware-as-a-Service προσφοράς. Πολλές διαφορετικές εγκληματικές ομάδες το ενοικιάζουν και κάθε μια το διανείμει μέσω των δικών της μεθόδων.
Σε μια έκθεση που κυκλοφόρησε την περασμένη εβδομάδα, η SophosLabs αποκάλυψε ότι εντοπίστηκε μια νέα καμπάνια με τη χρήση spam email που ισχυρίζονται ότι πρόκειται για ναυτιλιακές παραδόσεις. Αυτά τα μηνύματα περιείχαν boobytrapped έγγραφα του Word που ζητούσαν από το χρήστη να ενεργοποιήσει τις μακροεντολές.
Η ενεργοποίηση των μακροεντολών του Word θα πυροδοτούσε μια σειρά από αυτοματοποιημένα σενάρια που θα κατέβαζαν και θα εγκαθιστούσαν το Pony infostealer malware. Οι απατεώνες χρησιμοποιούν αυτό το κακόβουλο λογισμικό για τις τοπικές αναγνωρίσεις, και σε περίπτωση που διαπιστώσουν δεδομένα αξίας που θα μπορούσαν να κλαπούν, ώστε στη συνέχεια να παρέδιδαν το Vawtrack v2 trojan.
Οι ερευνητές επισημαίνουν ότι, σε σύγκριση με το v1, το v2 περιάμβάνει υποστήριξη για νέους στόχους. Το Vawtrack v1 είναι γνωστό ότι έχει κάνει θύματά του τις τράπεζες στη Γερμανία, την Πολωνία, την Ιαπωνία, τις ΗΠΑ, τη Σαουδική Αραβία, τα Ηνωμένα Αραβικά Εμιράτα, τη Μαλαισία, την Πορτογαλία, την Ισπανία και το Ηνωμένο Βασίλειο.
Στο v2, οι συγγραφείς του Vawtrack πρόσθεσαν επίσης υποστήριξη για τον Καναδά, το Ισραήλ, τη Ρουμανία, την Τσεχική Δημοκρατία και τη Δημοκρατία της Ιρλανδίας. Επιπλέον, το Vawtrack εφάρμοσε νέους στόχους για προηγουμένως υποστηριζόμενες χώρες, όπως το Ηνωμένο Βασίλειο, τις ΗΠΑ και την Ιαπωνία.
Ωστόσο, η SohposLabs δεν θεώρησε αυτές τις νέες Vawtrack WebInject ενότητες ως τις πιο σημαντικές αλλαγές που προστέθηκαν στο Vawtrack v2. Η εταιρεία ασφαλείας λέει ότι το trojan καταλαμβάνει τώρα πολύ μικρότερο χώρο στο δίσκο και διαθέτει μια αρθρωτή αρχιτεκτονική που επιτρέπει στους εγκληματίες να στείλουν νέες ενότητες σε κάθε μολυσμένο στόχο, διευρύνοντας το σύνολο των δυνατοτήτων του.
Επιπλέον, το Vawtrack v2 έχει «σκληρύνει» κατά των reverse-engineering διαδικασιών, που συνήθως διεξάγονται από τους ερευνητές της infosec. Η SohposLabs λέει ότι το v2 κατέστρεψε πολλά εργαλεία ασφαλείας που χρησιμοποιούνταν για την ανάλυση malware.
Η χρήση των δύσκολων σε κατανόση επιπέδων και οι αλλαγές στην κρυπτογράφηση του trojan έχουν καθυστερήσει σε μεγάλο βαθμό την ανάλυση αυτού του trojan.
“Η νέα έκδοση του Vawtrak δείχνει ότι το botnet είναι ζωντανό, με ενεργούς προγραμματιστές και με μια ακμάζουσα πελατειακή βάση”, σημειώνει η SophosLabs. “Ο ρυθμός με τον οποίο εισάγονται νέες build εκδόσεις δείχνουν ότι τα release του προϊόντος συμβαίνουν συχνά.”
Η εταιρεία υποστηρίζει, επίσης, ότι οι ιδιοκτήτες του Vawtrack προσθέτουν συνεχώς νέους C&C servers στις υποδομές τους, που οδηγεί στο γεγονός ότι πρόκειται για μια ραγδαία αναπτυσσόμενη επιχείρηση.
Οι αναγνώστες που ενδιαφέρονται για την τεχνική έκθεση της SophosLabs στο Vawtrack v2 μπορούν να την κατεβάσουν εδώ.
