Analitičari AVG-a otkrili su da operateri koji stoje iza jedne "mutacije" Vawtraka, koriste digitalnu steganografiju, odnosno metodu koja omogućuje prikrivanje podataka u slikama, kao što su tekstovi u faviconima.
To znači da URL-ovi C&C servera ugrađeni u LSB-ove ikona (least significant bits), nemaju utjecaja na prikaz ikona u internetskim preglednicima. Osvježena lista sa "živim" C&C serverima stiže do žrtvinog računala samo tijekom surfanja, odnosno kada se učitaju faviconi s dodatnim informacijama.
Pored toga, istražitelji kažu da su računala za "update" locirana u anonimnoj Tor mreži, te im se može pristupiti putem Tor2Web proxya, što znači da nije potreban neki poseban softver za odrađivanje tog posla, a faviconi su enkriptirani.
Prema AVG-u, zaraze s ovom vrstom malwarea su najčešće u Češkoj, SAD-u, Velikoj Britaniji i Njemačkoj.
Zasad je ovom inačicom trojanca napadnuto ukupno 20 financijskih institucija, među kojima i nekoliko velikih koje posluju širom svijeta, a sve su locirane u Kanadi.
Čitav AVG-ov izvještaj o Vawtraku pogledajte u PDF dokumentu na ovoj poveznici.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.