eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternetVawtrak atakuje polskie banki

Vawtrak atakuje polskie banki

2014-12-29 13:43

Vawtrak atakuje polskie banki

Vawtrak atakuje polskie banki ©  lighthouse - Fotolia.com

PRZEJDŹ DO GALERII ZDJĘĆ (2)

Kolejne złośliwe oprogramowanie atakuje polski sektor bankowy. Tym razem zagrożeniem dla rachunków bankowych dostępnych w systemach bankowości online jest Vawtrak. Maszyny nim zarażone stają się częścią botnetu, który przechwytuje loginy do kont. A stąd już prosta droga do dokonywania fałszywych przelewów na rachunki bankowe, znajdujące się pod kontrolą administratorów botnetu Vawtrak.

Przeczytaj także: Zombie groźne nie tylko w Halloween

Vawtrak, znany również po nazwami NeverQuest i Snifula, wstrzykuje DLL do procesów przeglądarki. Jak przebiega ta operacja? Podczas odwiedzania ukierunkowanych adresów URL, Vawtrak wstawia dodatkowy kod na stronie internetowej. Jest on używany do różnych celów w tym do omijania dwóch czynników uwierzytelniania, próby zainfekowania ofiary, składnikiem szkodliwego malware na urządzenia mobilne czy inicjowania automatycznego transferu z konta ofiary, a następnie ukrywanie dowodu transferu.

Wektory infekcji


Vawtrak jest zazwyczaj dostarczany na 3 sposoby, jako: ładunek do exploitu, wiadomość spamowa lub pobranie bezpośrednie złośliwego oprogramowania. Kampanie spamowe zwykle przypominają wiadomości wysyłane przez organizacje finansowe do swoich klientów, aby uruchomić exploit, użytkownik musi wejść w interakcje ze złośliwą wiadomością.

Drugi typ ataku – exploit kit polega na wyświetlaniu strony wcześniej bezpieczniej jako zagrożonej. Następuje tutaj złośliwe przekierowanie w celu implementacji zarażonego skryptu, zawierającego ładunek z Vawtrakiem.

Trzeci typ zarażenia, następuje poprzez pobranie złośliwego oprogramowania Vawtrak poprzez jego nieświadomą instalację.

Anty Antywirus


Vawtrak próbuje wyłączyć aktywny program antywirusowy przez użycie funkcji zabezpieczeń systemu Windows nazwanej "Software Restriction Policies7”. Jeśli jakieś oprogramowanie znajduje się w systemie na zakodowanej liście, a następnie tworzony jest na siłę wpis rejestru, aplikacja może działać z ograniczonymi uprawnieniami.

fot. mat. prasowe

Atakowane domeny

Pliki konfiguracyjne Target 1 zawierają wyłącznie adresy URL banków w Niemczech i Polsce.


Polska i Niemcy celami ataku Vawtrak


Laboratorium Sophos będzie badać osobno każdy cel ataku, opisując na które banki były skierowane działania cyberprzestępców oraz jakie typy zainfekowanego kodu były stosowane ze względu na lokalizację geograficzną.

Pierwszym celem ataku były dwa kraje – Polska i Niemcy.

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: