Vawtrak - kolejne zagrożenie dla bankowości internetowej

Maszyny zarażone Vawtrakiem stają się częścią botnetu, który kolektywnie przechwytuje dane logowania internetowych kont, szczególnie sektora finansowo – bankowego. Skradzione poświadczenia są używane w połączeniu z wstrzykniętym kodem i buforowane przez urządzenia ofiary do inicjacji fałszywych przelewów na rachunki bankowe, kontrolowane przez administratorów botnetu Vawtrak.

Vawtrak znany również jako NeverQuest i Snifula wstrzykuje DLL do procesów przeglądarki. Podczas odwiedzania ukierunkowanych adresów URL, Vawtrak wstawia dodatkowy kod na stronie internetowej. Jest on używany do różnych celów w tym do omijania czynników uwierzytelniania, próby zainfekowania ofiary składnikiem szkodliwego malware na urządzenia mobilne czy inicjowania automatycznego transferu z konta ofiary, a następnie ukrywania dowodu transferu.

Vawtrak jest zazwyczaj dostarczany na 3 sposoby: jako ładunek do exploitu, wiadomość spamowa lub za pomocą bezpośredniego pobrania. Kampanie spamowe zwykle przypominają wiadomości wysyłane przez organizacje finansowe do swoich klientów. Aby uruchomić exploit, użytkownik musi wejść w interakcje ze złośliwą wiadomością. Drugi typ ataku - exploit kit - polega na wyświetlaniu strony wcześniej bezpieczniej jako zagrożonej. Następuje tutaj złośliwe przekierowanie w celu implementacji zarażonego skryptu, zawierającego ładunek z Vawtrakiem. Trzeci typ zarażenia, następuje poprzez pobranie złośliwego oprogramowania Vawtrak poprzez jego nieświadomą instalację.

Vawtrak próbuje wyłączyć aktywny program antywirusowy przez użycie funkcji zabezpieczeń systemu Windows nazwanej  "Software Restriction Policies7”. Jeśli jakieś oprogramowanie znajduje się w systemie na zakodowanej liście, a następnie tworzony jest na siłę wpis rejestru, aplikacja może działać z ograniczonymi uprawnieniami.  

Pierwszym celem ataku zostały dwa kraje - Polska i Niemcy.