Vadokrist

Latinamerika fortsatte med at være det foretrukne grundlag for udsendelse af banktrojanere. En sådan trussel, der har været aktiv siden mindst 2018 og stadig er under aktiv udvikling, er Vadokrist. Forskere analyserede den underliggende kode for Vadokrist og fandt ud af, at den deler flere funktioner med flere andre bank-trojanske familier fra regionen, hovedsageligt Mekotio, Casbaneiro, Grandoreiro og Amavaldo. Stadig adskiller flere karakteristika Vadokrist fra resten.

Det første ejendommelige aspekt af truslen er inkluderingen af en betydelig mængde ubrugt kode inde i binærfiler. Målet var højst sandsynligt at øge chancerne for truslen for at undgå at blive opdaget og samtidig forlænge den nødvendige tid til korrekt analyse af koden. Tidligere Vadokrist-versioner lagrede strenge inde i en enkelt strengetabel på en måde svarende til Casbaneiro, men nyere varianter inkluderer flere strengetabeller, der hver har til opgave at have et andet mål.

Den anden store afvigelse, der vises af Vadokrist, er i sin datahøstningsrutine. De fleste latinamerikanske banktrojanere indsamler forskellige oplysninger om deres ofre, såsom computernavne og Windows OS-versioner, når de først udføres. Vadokrist indsamler ikke kun en mindre delmængde af data; det høster kun offerets brugernavn, men det gør det på det tidspunkt, hvor et angreb indledes mod en finansiel institution.

Vadokrists bagdørskapacitet er par af kurset. Truslen kan manipulere musen og simulere tastaturindgang, etablere en keylogger-rutine, tage vilkårlige skærmbilleder og genstarte det inficerede system. Det er også udstyret med en temmelig hårdhændet måde at forhindre brugere i at få adgang til bestemte websteder ved direkte at dræbe webbrowserprocessen. Trusselens vedholdenhedsmekanisme inkluderer enten generering af en Run-nøgle eller en LNK-fil, der frigives i startmappen.

Angreb Vector

Vadokrist forplantes gennem en spam-e-mail-kampagne. Ofre er målrettet med agn-e-mails med to beskadigede vedhæftede filer - ZIP-arkiver med et MSI-installationsprogram og et CAB-arkiv. Angrebskæden springer downloaderfasen over, hvor Vadokrist leveres af e-mails direkte.

Når brugeren udfører MSI-installationsprogrammet, finder den CAB-arkivet og udtrækker dets indhold til disken. Derefter fortsætter det med at udføre og integrere en JavaScript-fil, der etablerede persistensmekanismen. Scriptet genstarter det kompromitterede system og fortsætter ved belastning til at udføre Vadokrist-malware selv.

JavaScript-filen bruger en ny tilsløringsmetode - den misbruger den måde, som kommaoperatøren fungerer i JavaScript for at reducere læsbarheden og undgå emulering markant. Operationer, der bruger den logiske AND-operator, tilsløres med en lignende teknik.