Μια νέα κυβερνοεπίθεση με στόχο να μολύνει τους υπολογιστές των χρηστών με το Vawtrak τραπεζικό Trojan εντοπίστηκε από τους ερευνητές ασφάλειας και βασίζεται σε μια ρουτίνα πολλών σταδίων που περιλαμβάνει τη χρήση των εγγράφων του Microsoft Word με κακόβουλες μακροεντολές.
Ο κατάλογος των τραπεζών που στοχεύει η τρέχουσα εκστρατεία περιλαμβάνει τις: Bank of America, Barclays, Citibank, HSBC, Τράπεζα LLOYD’S και JP Morgan.
Οι δράστες βασίζονται σε πολλαπλές τακτικές για να συγκαλύψουν την επίθεση, μία εκ των οποίων είναι να παρέχουν φαινομενικά κωδικοποιημένο το περιεχόμενο του εγγράφου, το οποίο αποκρυπτογραφείται μόνο μετά την ενεργοποίηση της λειτουργίας macro στο Word.
Μια άλλη τακτική συνίσταται στην παράδοση ενός αρχείου VBS που έχει ένα “- -ExecutionPolicy bypass” policy flag ενεργοποιημένο. Αυτό χρησιμοποιείται από τους διαχειριστές του συστήματος ως μηχανισμός ασφαλείας για να αποτρέψει τους χρήστες από την εκτέλεση scripts εάν δεν συμμορφώνονται με τις απαιτήσεις πολιτικής.
Τα scripts με την “bypass” εντολή μπορούν να εκτελέσουν αρχεία χωρίς περιορισμούς και χωρίς να παράγουν προειδοποιήσεις.
Τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου υποτίθεται ότι προέρχονται από διάσημες υπηρεσίες όπως η FedEx, και αφορούν ενημέρωση για την άφιξη ενός πακέτου, ή από την American Airlines, ενημερώνοντας τους παραλήπτες για συναλλαγές που πραγματοποιήθηκαν με την κάρτα πληρωμής τους.
Όλα τα μηνύματα έχουν ένα έγγραφο Word που επισυνάπτεται και φέρεται να προσφέρει περισσότερες λεπτομέρειες για το θέμα στο οποίο αναφέρεται το μήνυμα.
Όταν το θύμα ανοίξει το αρχείο κειμένου, θα του ζητηθεί να ενεργοποιήσει τις μακροεντολές.
Η Microsoft έχει απενεργοποιήσει τη λειτουργία από προεπιλογή στο Office αφότου άρχισε να γίνεται κατάχρηση από κακόβουλους παράγοντες. Ωστόσο, οι χρήστες που χρειάζονται τις μακροεντολές για να εκτελέσουν αυτοματοποιημένες εργασίες μπορούν να τις ενεργοποιήσουν.
Στην περίπτωση του Vawtrak, η μακροεντολή περιέχει εντολές για τη λήψη ένος αρχείου batch, ενός VBS script και ενός αρχείου PowerShell. Το batch file τρέχει το VBS, το οποίο με τη σειρά του εκτελεί το αρχείο PowerShell που διοχετεύει στο κακόβουλο λογισμικό στο σύστημα.
H Trend Micro αναφέρει ότι αυτή η παραλλαγή του Vawtrak υποκλέπτει log-in δεδομένα του Microsoft Outlook, καθώς και τα credentials που αποθηκεύονται στο Google Chrome και Mozilla Firefox, και τους FTP clients.
Η ανάλυση του κακόβουλου λογισμικού αποκάλυψε ότι μπορεί να συνδεθεί στο πρόγραμμα περιήγησης και παρακάμπτει τον μηχανισμό SSL.
Ο μεγαλύτερος αριθμός των μολύνσεων με αυτή την έκδοση του Vawtrak έχει παρατηρηθεί στις ΗΠΑ (60,71%) και ακολουθεί η Ιαπωνία (10,22%), η Γερμανία (6,83%), το Ηνωμένο Βασίλειο (4,47%) και η Αυστραλία (3,42%).
