Trojan Vawtrak thu thập thông tin mật khẩu trên toàn thế giới

trojan

Các nhà nghiên cứu bảo mật đã phát hiện ra một số tính năng mới trong phần mềm độc hại nguy hiểm aka Neverquest có tên là Vawtrak, có thể gửi và nhận dữ liệu thông qua các favicon mã hóa được phân bố trên mạng Tor.

Vawtrak là một tính năng hỗ trợ tinh vi của phần mềm độc hại aka Neverquest. Nó có khả năng ăn cắp thông tin tài chính và thực hiện giao dịch từ xa trên các máy tính bị nhiễm mà không để lại dấu vết. Các tính năng bao gồm video và chụp ảnh màn hình, tạo ra các cuộc tấn công man-in-the-middle.

Công ty chống virus AVG cảnh báo người dùng rằng họ đã phát hiện ra một chiến dịch liên tục cung cấp Vawtrak để truy cập vào các tài khoản ngân hàng và sử dụng các module Pony để ăn cắp một loạt các thông tin đăng nhập của nạn nhân. Vawtrak Banking Trojan lây lan bằng cách sử dụng một trong ba cách:

  • Drive-by download: các tệp tin đính kèm trong các email spam hoặc liên kết đến các trang web bị xâm nhập
  • Malware downloader- như Zemot hoặc Chaintor
  • Khai thác qua kit: như Angler Exploit Kit

Theo các nhà nghiên cứu, Vawtrak sử dụng proxy Tor2Web để nhận thông tin từ các nhà phát triển của nó. Mẫu Vawtrak mới nhất sử dụng Steganography để ẩn tập tin cập nhật trong vòng favicon nhằm che giấu việc download độc hại. Favicon là những hình ảnh nhỏ được các trang web sử dụng để thêm biểu tượng và đánh dấu trang web, các tab trình duyệt. Sau khi thực hiện trong máy tính của nạn nhân, Vawtrak thực hiện các hành động sau đây:

  • Vô hiệu hóa phần mềm bảo vệ antivirus.
  • Tiêm mã tùy chỉnh vào một trang web (điều này chủ yếu liên quan đến các ngân hàng trực tuyến)
  • Đánh cắp mật khẩu, giấy chứng nhận kỹ thuật, lịch sử trình duyệt và các tập tin cookie.
  • Giám sát các nạn nhân
  • Tạo một truy cập từ xa vào máy của người dùng (VNC, SOCKS)
  • Tự động cập nhật.

Vawtrak hoạt động trên ba trình duyệt hỗ trợ lớn: Internet Explorer, Firefox và Chrome. Nó cũng hỗ trợ đánh cắp mật khẩu từ các trình duyệt khác.

Theo THN

Bình luận

Từ khóa: