Вредоносное ПО Vawtrak использует зашифрованные иконки для обмена данными через Tor

Вредонос способен соединяться с сервером обновлений по Tor, не загружая на ПК жертв дополнительных программ.

Специалист компании AVG Якуб Крустек (Jakub Kroustek) обнаружил новый функционал во вредоносном ПО Vawtrak. Как сообщил исследователь в своем отчете, один из наиболее опасных ботнетов получил возможность принимать и отправлять данные через Tor с помощью зашифрованных файлов favicon – значков web-сайта, которые отображаются в браузере перед названием страницы.

По словам Крустека, для получения обновлений от злоумышленников Vawtrak использует прокси-сервер Tor2Web. «Особый интерес с точки зрения безопасности вызывает то, что с помощью Tor2Web Vawtrak может обращаться к скрытым в Tor серверам обновления, не загружая на скомпрометированную систему специального ПО наподобие Tor Browser, - сообщает специалист. – Помимо этого, соединение шифруется с помощью SSL».

Эксперт отметил, что последние версии Vawtrak используют методы стеганографии для сокрытия файлов обновления в иконках favicon. Это позволяет максимально долго скрывать вредоносное ПО от сторонних глаз.

Vawtrak был впервые обнаружен в 2014 году компанией Sophos. Он используется в атаках на банковские системы, геймерские сайты и социальные сети в Великобритании, Германии и США. Остальные страны Европы, а также Австралия и Новая Зеландия тоже пострадали от вредоноса, хоть и в меньшей степени. Эксперты Sophos сообщают, что вредоносное ПО способно отключать популярные антивирусные продукты с помощью политики запрета запуска приложений. Вредонос распространяется с помощью нескольких векторов атаки, включая загрузчик Pony и набор эксплоитов Angler.

Крустек также обратил внимание на то, что агрессивные алгоритмы атаки Vawtrak приводят к общей дестабилизации инфицированных систем, из-за чего они становится более уязвимыми к другим видам вредоносного ПО. По словам эксперта, пользователям стоит внимательнее проверять загрузки, не переходить по полученным из недоверенных источников ссылкам, а также регулярно проверять систему антивирусом.

С отчетом Крустека можно ознакомиться здесь.

Отчет компании Sophos доступен здесь.

Ссылки:

• Favicons used to update world's 'most dangerous' malware