Банковский троян загружает обновления из фавиконов через Tor2Web

Банковский троян загружает обновления из фавиконов через Tor2Web

Похоже, банковский троян Vawtrak претендует на звание самого креативного зловреда из существующих. В последней версии эта малварь научилась загружать обновления из фавиконов, используя Tor2Web прокси. Об эволюции Vawtrak рассказывается в отчёте специалистов по безопасности из антивирусной лаборатории AVG Technologies.

Особенно распространённый в США, Великобритании и Чехии троян попадает на компьютеры различными способами, через drive-by атаки, эксплоит-паки и загрузчики. Затем он получает доступ к банковскому счёту жертвы, а также задействует известный модуль Pony для копирования всех возможных учётных данных, передает xakep.ru.

В последней версии трояна наибольший интерес исследователей привлекли две функции: использование стеганографии (прячет адреса серверов обновлений в фавиконы) и использование Tor2Web прокси.

Стеганография помогает скрыть сам факт загрузки списка адресов для обновления, поскольку скачивание фавикона не выглядит чем-то особенным. Вот как выглядит зашифрованный фрагмент и расшифрованный код с адресами серверов.

В каждом экземпляре трояна зашит список командных серверов в скрытой сети, причём доступ к ним осуществляется через Tor2Web без установки дополнительного программного обеспечения на компьютер жертвы.

Троян Vawtrak появился в начале 2015 года, а пика активности достиг в конце января. В феврале его активность упала, но с тех пор остаётся довольно стабильной и даже немного растёт.

Мошенники пугают россиян блокировкой СБП и требуют коды из СМС

Телефонные мошенники снова нашли тему, которая звучит достаточно сложно, чтобы человек растерялся. Теперь россиян запугивают якобы подозрительной активностью в цепочке переводов и грозят блокировкой доступа к Системе быстрых платежей.

О новой схеме РИА Новости рассказали в пресс-службе платформы «Мошеловка» Народного фронта.

Потенциальной жертве звонят или пишут лжесотрудники банка, контролирующего органа или другой важной структуры. Дальше начинается спектакль про подозрительные переводы, технический сбой или проблемы с идентификацией. Жертве сообщают, что из-за этого доступ к СБП могут заблокировать.

Чтобы срочно всё исправить, мошенники предлагают пройти верификацию через специальный сервис. На деле под этим предлогом они пытаются выманить код из СМС, заставить установить вредоносное приложение под видом официального инструмента или убедить перевести деньги на безопасный счёт.

В «Мошеловке» отмечают, что схема особенно актуальна в июле: злоумышленники используют тему интеграции налоговых идентификаторов в банковские системы и рассчитывают на то, что большинство клиентов не знает технических деталей работы СБП.

Главное правило здесь простое: никаких дополнительных подтверждений для работы Системы быстрых платежей пользователю проходить не нужно. Обмен данными между ведомствами и банками происходит автоматически, без звонков с просьбами назвать код или установить приложение.

Если собеседник говорит о блокировке переводов, просит код из СМС, требует поставить программу или перевести деньги на резервный счёт, разговор лучше сразу закончить. А потом самостоятельно позвонить в банк по номеру с официального сайта или из приложения.

RSS: Новости на портале Anti-Malware.ru