臭名昭著銀行木馬程序Vawtrak再度出現(xiàn)，主要針對金融服務(wù)公司，該木馬程序像俄羅斯套娃般有多層復(fù)雜性，并通過各種復(fù)雜的戰(zhàn)術(shù)來給企業(yè)構(gòu)成威脅。

丹麥網(wǎng)絡(luò)安全公司Heimdal Security最近發(fā)現(xiàn)在加拿大15家金融機(jī)構(gòu)接連遭受攻擊，超過15000臺機(jī)器受到影響。Heimdal稱，最新版本的Vawtrak能夠捕捉視頻和截圖，并使用中間人攻擊來捕獲未加密流量。

由于其相互依賴性和復(fù)雜性，F(xiàn)ortinet研究人員Raul Alvarez把這個(gè)類似Zeus的銀行木馬的分層可執(zhí)行文件比作俄羅斯套娃。

“每個(gè)‘娃娃’(可執(zhí)行的二進(jìn)制文件)都有自己的一套算法和功能，導(dǎo)致生成下一個(gè)可執(zhí)行文件，”Alvarez在博客中寫道，“每個(gè)二進(jìn)制文件(除了最后一個(gè))對下一個(gè)文件的產(chǎn)生發(fā)揮著重要的作用。”

根據(jù)Alvarez稱，第一個(gè)可執(zhí)行二進(jìn)制文件(外層娃娃)從其覆蓋部分產(chǎn)生第二個(gè)可執(zhí)行二進(jìn)制文件，而第二個(gè)可執(zhí)行二進(jìn)制文件(第二個(gè)娃娃)則解壓縮大塊數(shù)據(jù)來生成第三個(gè)可執(zhí)行二進(jìn)制文件。第三個(gè)可執(zhí)行二進(jìn)制文件(第三個(gè)娃娃)利用其資源部分生成最終的可執(zhí)行二進(jìn)制文件(最里面的娃娃)。

“第一、二和三層像是包裝，”Alvarez稱，“它們包裹著第四層—這可能是其他任何惡意軟件。”

Alvarez解釋說攻擊者可能使用另一個(gè)Vawtrak作為第四層。這種分層做法在理論上可以無限制地進(jìn)行下去，創(chuàng)造某種非常復(fù)雜的金融惡意軟件。

Vawtrak被AVG Technologies公司分析師Jakub K?oustek比作是其攻擊者的瑞士軍刀，因?yàn)樵撃抉R具有非常廣泛的功能。

根據(jù)Koustek的AVG白皮書顯示，Vawtrak支持竊取多種類型基于互聯(lián)網(wǎng)或本地存儲(chǔ)的登錄憑證;在用戶顯示網(wǎng)頁(網(wǎng)上銀行)注入自定義代碼;監(jiān)視用戶(鍵盤記錄、截屏、捕獲視頻);對用戶機(jī)器創(chuàng)建遠(yuǎn)程訪問(VNC、SOCKS);以及自動(dòng)更新。

Vawtrak最早出現(xiàn)在日本;在停止一段時(shí)間后，它出現(xiàn)在美國、德國、捷克、英國和加拿大。Heimdal Security公司還報(bào)告稱該攻擊的命令控制中心似乎位于俄羅斯。Vawtrak通過下載收藏夾圖標(biāo)來傳播，收藏夾圖表是包含病毒的微小的jpeg圖像。

“Vawtrak使用隱寫術(shù)來將更新列表隱藏在更新服務(wù)器中收藏夾圖表內(nèi)，” Koustek寫道，“因此，這個(gè)下載乍一看似乎沒有什么可疑。每個(gè)收藏夾圖表的大小僅約為4KB，但這足以攜帶以最低有效位隱藏的更新文件。”

Vawtrak是針對金融機(jī)構(gòu)的復(fù)雜僵尸網(wǎng)絡(luò)和先進(jìn)惡意軟件的最新例證。根據(jù)PhishLabs的研究人員表示，最近對知名金融木馬的打擊行動(dòng)在不經(jīng)意間為創(chuàng)新的新金融惡意軟件(例如Vawtrak)提供了傳播機(jī)會(huì)。