Faviconi su one male ikonice "težine" od nekih 4 kb, koje predstavljaju svojevrsne logotipove web stranica u tabovima internetskih preglednik. Hakeri koji stoje iza trojanca Vawtraka koji se koristi za napad na banke, pronašli su novi način za izbjegavanje detekcije i unaprjeđenje metode za komunikaciju, korištenjem favicona za pohranu osvježene liste "command and control" servera (C&C), te dostavu na zaražene sustave.
Analitičari AVG-a otkrili su da operateri koji stoje iza jedne "mutacije" Vawtraka, koriste digitalnu steganografiju, odnosno metodu koja omogućuje prikrivanje podataka u slikama, kao što su tekstovi u faviconima.
To znači da URL-ovi C&C servera ugrađeni u LSB-ove ikona (least significant bits), nemaju utjecaja na prikaz ikona u internetskim preglednicima. Osvježena lista sa "živim" C&C serverima stiže do žrtvinog računala samo tijekom surfanja, odnosno kada se učitaju faviconi s dodatnim informacijama.
Pored toga, istražitelji kažu da su računala za "update" locirana u anonimnoj Tor mreži, te im se može pristupiti putem Tor2Web proxya, što znači da nije potreban neki poseban softver za odrađivanje tog posla, a faviconi su enkriptirani.
Prema AVG-u, zaraze s ovom vrstom malwarea su najčešće u Češkoj, SAD-u, Velikoj Britaniji i Njemačkoj.
Zasad je ovom inačicom trojanca napadnuto ukupno 20 financijskih institucija, među kojima i nekoliko velikih koje posluju širom svijeta, a sve su locirane u Kanadi.
Čitav AVG-ov izvještaj o Vawtraku pogledajte u PDF dokumentu na ovoj poveznici.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.