Специалист компании AVG Якуб Крустек (Jakub Kroustek) обнаружил новый функционал во вредоносном ПО Vawtrak. Как сообщил исследователь в своем отчете, один из наиболее опасных ботнетов получил возможность принимать и отправлять данные через Tor с помощью зашифрованных файлов favicon – значков web-сайта, которые отображаются в браузере перед названием страницы.
По словам Крустека, для получения обновлений от злоумышленников Vawtrak использует прокси-сервер Tor2Web. «Особый интерес с точки зрения безопасности вызывает то, что с помощью Tor2Web Vawtrak может обращаться к скрытым в Tor серверам обновления, не загружая на скомпрометированную систему специального ПО наподобие Tor Browser, - сообщает специалист. – Помимо этого, соединение шифруется с помощью SSL».
Эксперт отметил, что последние версии Vawtrak используют методы стеганографии для сокрытия файлов обновления в иконках favicon. Это позволяет максимально долго скрывать вредоносное ПО от сторонних глаз.
Vawtrak был впервы обнаружен в 2014 году компанией Sophos. Он используется в атаках на банковские системы, геймерские сайты и социальные сети в Великобритании, Германии и США. Остальные страны Европы, а также Австралия и Новая Зеландия тоже пострадали от вредоноса, хоть и в меньшей степени. Эксперты Sophos сообщают, что вредоносное ПО способно отключать популярные антивирусные продукты с помощью политики запрета запуска приложений. Вредонос распространяется с помощью нескольких векторов атаки, включая загрузчик Pony и набор эксплоитов Angler.
Крустек также обратил внимание на то, что агрессивные алгоритмы атаки Vawtrak приводят к общей дестабилизации инфицированных систем, из-за чего они становится более уязвимыми к другим видам вредоносного ПО. По словам эксперта, пользователям стоит внимательнее проверять загрузки, не переходить по полученным из недоверенных источников ссылкам, а также регулярно проверять систему антивирусом.
По словам Крустека, для получения обновлений от злоумышленников Vawtrak использует прокси-сервер Tor2Web. «Особый интерес с точки зрения безопасности вызывает то, что с помощью Tor2Web Vawtrak может обращаться к скрытым в Tor серверам обновления, не загружая на скомпрометированную систему специального ПО наподобие Tor Browser, - сообщает специалист. – Помимо этого, соединение шифруется с помощью SSL».
Эксперт отметил, что последние версии Vawtrak используют методы стеганографии для сокрытия файлов обновления в иконках favicon. Это позволяет максимально долго скрывать вредоносное ПО от сторонних глаз.
Vawtrak был впервы обнаружен в 2014 году компанией Sophos. Он используется в атаках на банковские системы, геймерские сайты и социальные сети в Великобритании, Германии и США. Остальные страны Европы, а также Австралия и Новая Зеландия тоже пострадали от вредоноса, хоть и в меньшей степени. Эксперты Sophos сообщают, что вредоносное ПО способно отключать популярные антивирусные продукты с помощью политики запрета запуска приложений. Вредонос распространяется с помощью нескольких векторов атаки, включая загрузчик Pony и набор эксплоитов Angler.
Крустек также обратил внимание на то, что агрессивные алгоритмы атаки Vawtrak приводят к общей дестабилизации инфицированных систем, из-за чего они становится более уязвимыми к другим видам вредоносного ПО. По словам эксперта, пользователям стоит внимательнее проверять загрузки, не переходить по полученным из недоверенных источников ссылкам, а также регулярно проверять систему антивирусом.
