Вредоносное ПО Vawtrak использует прокси-сервер Tor2Web


AVGСпециалистом из компании AVG был обнаружен новый функционал во вредоносном ПО Vawtrak. Теперь один из наиболее опасных ботнетов способен принимать и отправлять данные через Tor, используя зашифрованные файлы favicon – значков web-сайта, отображающиеся в браузере перед названием страницы.

Эксперт утверждает, что для своего обновления Vawtrak использует прокси-сервер Tor2Web, при помощи которого зловред может обращаться к скрытым в Tor серверам обновления, не загружая на скомпрометированную систему специального ПО наподобие Tor Browser. Кроме того, само соединение шифруется с помощью SSL.

Также эксперт отметил, что последними версиями Vawtrak, для сокрытия файлов обновления в иконках favicon, широко используются методы стеганографии. Такой подход позволяет скрывать вредоносное ПО от сторонних глаз довольно длительное время.

Впервые Vawtrak был обнаружен компанией Sophos еще в 2014 году. Он широко используется в атаках на банковские системы, геймерские сайты и социальные сети в Великобритании, Германии и США. Однако остальные страны Европы, а также Австралия и Новая Зеландия, также пострадали от вредоноса.

В свою очередь эксперты Sophos определили, что вредоносное ПО способно отключать популярные антивирусные продукты с помощью политики запрета запуска приложений. К тому же отметили приемы распространения вредоноса с помощью нескольких векторов атаки, включая загрузчик Pony и набор эксплоитов Angler.

Также стоит обратить внимание на тот факт, что агрессивные алгоритмы атаки Vawtrak приводят к общей дестабилизации инфицированных систем. Это приводит к тому, что последние становятся более уязвимыми к другим видам вредоносного ПО.


Обновлено (26.03.2015 19:11)