Vawtrak использует зашифрованные иконки для обмена данными через Tor

Специалист компании AVG Якуб Крустек (Jakub Kroustek) обнаружил новый функционал во вредоносном ПО Vawtrak. Как сообщил исследователь в своем отчете, один из наиболее опасных ботнетов получил возможность принимать и отправлять данные через Tor с помощью зашифрованных файлов favicon – значков web-сайта, которые отображаются в браузере перед названием страницы.

По словам Крустека, для получения обновлений от злоумышленников Vawtrak использует прокси-сервер Tor2Web. «Особый интерес с точки зрения безопасности вызывает то, что с помощью Tor2Web Vawtrak может обращаться к скрытым в Tor серверам обновления, не загружая на скомпрометированную систему специального ПО наподобие Tor Browser, — сообщает специалист. – Помимо этого, соединение шифруется с помощью SSL».

Эксперт отметил, что последние версии Vawtrak используют методы стеганографии для сокрытия файлов обновления в иконках favicon. Это позволяет максимально долго скрывать вредоносное ПО от сторонних глаз.

Vawtrak был впервые обнаружен в 2014 году компанией Sophos. Он используется в атаках на банковские системы, геймерские сайты и социальные сети в Великобритании, Германии и США. Остальные страны Европы, а также Австралия и Новая Зеландия тоже пострадали от вредоноса, хоть и в меньшей степени. Эксперты Sophos сообщают, что вредоносное ПО способно отключать популярные антивирусные продукты с помощью политики запрета запуска приложений. Вредонос распространяется с помощью нескольких векторов атаки, включая загрузчик Pony и набор эксплоитов Angler.

Крустек также обратил внимание на то, что агрессивные алгоритмы атаки Vawtrak приводят к общей дестабилизации инфицированных систем, из-за чего они становится более уязвимыми к другим видам вредоносного ПО. По словам эксперта, пользователям стоит внимательнее проверять загрузки, не переходить по полученным из недоверенных источников ссылкам, а также регулярно проверять систему антивирусом.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s