Biến thể mới của Trojan Banking Vawtrak phát tán bởi Chanitor Downloader

Một biến thể mới của Trojan ngân hàng Vawtrak đã được các nhà nghiên cứu bảo mật phát hiện, họ quan sát thấy phần mềm độc hại downloader Chanitor phát tán nó.

Vawtrak cũng được gọi bằng cái tên Neverquest và Snifula và tần suất sử dụng trojan này đã tăng lên thường xuyên trong vài tháng qua.

Vawtrak thao túng ngân hàng trực tuyến

Một khi nó nhiễm vào máy, mối đe dọa đưa vào quá trình duyệt web một DLL có thể thao tác các phiên duyệt web tới các trang đích cụ thể, được các nhà khai thác đính kèm trong các tập tin cấu hình.

Khi nạn nhân tải các trang của một mục tiêu trong trình duyệt, phần mềm độc hại tiêm nhiễm đoạn code trong thời gian thực, thêm vào nội dung được thiết kế để lừa người dùng cung cấp thông tin nhạy cảm, chẳng hạn như thông tin ngân hàng, sau đó chuyển thông tin có được đến một máy tính từ xa do tội phạm mạng điều khiển.

Theo một báo cáo tháng 12/2014 từ Sophos, giao dịch gian lận được khởi động thông qua máy tính của nạn nhân. Vì tất cả mọi thứ xảy ra trước mắt người dùng, tính năng bảo mật xác thực hai yếu tố (2FA) cũng có thể bị qua mặt, bằng cách yêu cầu nạn nhân cung cấp mã mở khóa để truy cập vào các tài khoản ngân hàng, giống như trong trường hợp của một phiên ngân hàng trực tuyến thực tế.

Máy chủ C&C đặt tại Tor, giao tiếp được mã hóa

Các nhà nghiên cứu bảo mật từ Zscaler phát hiện một chiến dịch lừa đảo mới lừa người dùng cài đặt Chanitor, một phần mềm độc hại được sử dụng cho việc đổi hướng và cài đặt các mối đe dọa khác. Các email giả mạo thông tin quan trọng, chẳng hạn như thư thoại, hóa đơn, fax, nhưng tập tin cuối cùng là một tập tin thực thi độc hại (SCR).

Họ phát hiện ra rằng Chanitor tự động xóa từ các máy tính bị lây nhiễm ngay sau nó khi được tải về, nhưng trước đó, nó đã kịp tự sao chép tới một vị trí khác.

Sau đó nó thực thi bản sao và liên hệ máy chủ (C&C) để được hướng dẫn. Zscaler cho biết downloader sử dụng một kết nối được mã hóa trong quá trình giao tiếp với một máy chủ nằm trong mạng ẩn danh Tor.

“Yêu cầu này là một chỉ dẫn cho máy chủ C&C trên TOR qua tor2web.org. Chanitor sử dụng SSL cho tất cả các thông tin liên lạc và các chỉ dẫn thông qua các yêu cầu POST tới /gate.php. Nếu yêu cầu thành công, máy chủ C2 sẽ cung cấp hướng dẫn tiếp theo, mà theo phân tích của chúng tôi là để tải về tải trọng (payload) nhị phân thêm [Vawtrak]”, John Mancuso cho biết trong một bài đăng blog.

Để có thể tồn tại lâu dài trên máy tính bị nhiễm, phần mềm độc hại tạo ra một dịch vụ và nó có thể chạy mỗi lần hệ thống khởi động.

Chanitor được những cải tiến

Có vẻ như Chanitor đã phát triển trong vài tháng qua, vì các mẫu ban đầu được các nhà nghiên cứu phân tích chỉ hoạt động trên Windows 7 trong chế độ tương thích và với quyền quản trị viên. Tuy nhiên, những chủng mới đã giải quyết được những vấn đề này và chạy mà không bị lỗi.

Với máy chủ C&C ẩn náu trong Tor, việc gỡ chúng là điều khó khăn, bởi vì các kết nối trong mạng là vô danh và ngẫu nhiên để bảo toàn danh tính của người sử dụng.

Mặt khác, ngăn chặn các kết nối tới Tor2Web sẽ cắt đứt thông tin liên lạc của phần mềm độc hại với trung tâm điều khiển của nó và khiến mối đe dọa trở nên vô hại. Các quản trị viên quan sát được mối liên kết tới Tor2Web với một tần số cụ thể nên điều tra vấn đề này, vì nó có thể là một chỉ báo về sự xâm nhập.

Softpedia