Банковский троян загружает обновления из фавиконов через Tor2Web

Банковский троян загружает обновления из фавиконов через Tor2Web

Похоже, банковский троян Vawtrak претендует на звание самого креативного зловреда из существующих. В последней версии эта малварь научилась загружать обновления из фавиконов, используя Tor2Web прокси. Об эволюции Vawtrak рассказывается в отчёте специалистов по безопасности из антивирусной лаборатории AVG Technologies.

Особенно распространённый в США, Великобритании и Чехии троян попадает на компьютеры различными способами, через drive-by атаки, эксплоит-паки и загрузчики. Затем он получает доступ к банковскому счёту жертвы, а также задействует известный модуль Pony для копирования всех возможных учётных данных, передает xakep.ru.

В последней версии трояна наибольший интерес исследователей привлекли две функции: использование стеганографии (прячет адреса серверов обновлений в фавиконы) и использование Tor2Web прокси.

Стеганография помогает скрыть сам факт загрузки списка адресов для обновления, поскольку скачивание фавикона не выглядит чем-то особенным. Вот как выглядит зашифрованный фрагмент и расшифрованный код с адресами серверов.

В каждом экземпляре трояна зашит список командных серверов в скрытой сети, причём доступ к ним осуществляется через Tor2Web без установки дополнительного программного обеспечения на компьютер жертвы.

Троян Vawtrak появился в начале 2015 года, а пика активности достиг в конце января. В феврале его активность упала, но с тех пор остаётся довольно стабильной и даже немного растёт.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Региональным органам власти рекомендовали активнее переходить на MAX

Мессенджер MAX рекомендовано активнее внедрять в работу региональных органов власти. По данным источников, не исключено, что в перспективе уровень использования MAX может стать одним из критериев оценки эффективности деятельности губернаторов наравне с другими ключевыми показателями.

Об активизации усилий по продвижению MAX в субъектах РФ сообщили восемь источников газеты «Ведомости».

Платформу начинают использовать главы регионов, члены правительств субъектов, руководители избиркомов, сенаторы, депутаты Госдумы, а также высокопоставленные муниципальные чиновники и мэры крупных городов. В ряде регионов установлен срок перехода на MAX: где-то — до 1 августа, где-то — до 1 сентября.

По данным источников, регионы часто действуют инициативно. Некоторые из них уже обратились к VK с просьбой подключить экспериментальные функции мессенджера, включая каналы, официальный запуск которых запланирован на осень. Сейчас они доступны ограниченному кругу пользователей — крупным СМИ и отдельным публичным персонам.

Развитие MAX, по информации собеседников издания, обсуждалось на совещании с участием представителей администрации президента и правительства. Курировать внедрение будут не только администрации, но и профильные ведомства. Пока никаких целевых показателей не установлено, однако не исключено, что количество пользователей MAX в регионе впоследствии включат в систему KPI для губернаторов.

О переходе на MAX уже объявили власти Санкт-Петербурга, республик Коми и Марий Эл, Ханты-Мансийского автономного округа, а также Кемеровской области. Там планируют перевести рабочие чаты в мессенджер до конца июля. Мэры Краснодара и Новосибирска распорядились перенести всю служебную переписку в MAX.

По мнению опрошенных экспертов, переход госструктур и банков на отечественные ИТ-продукты — ожидаемый шаг. С 1 июня в России действует закон, запрещающий использование иностранных мессенджеров для общения представителей этих организаций с гражданами. Мера направлена на защиту от телефонных мошенников, часто прикрывающихся именами официальных структур — от банков и сотовых операторов до служб ЖКХ.

MAX позиционируется не только как мессенджер, но и как универсальная цифровая платформа. В неё планируется интеграция государственных и муниципальных сервисов, включая Госуслуги и функции электронной подписи. В шести регионах уже запущен пилотный проект по использованию MAX в учебном процессе. В Москве отдельные школы начали требовать от родителей и учеников установки приложения в сжатые сроки.

В то же время у MAX выявлен ряд проблем. В частности, речь идёт о несанкционированной передаче данных за границу, сборе информации о пользователях и устройствах, а также использовании компонентов, произведённых в недружественных странах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru