Vadokrist

L'America Latina ha continuato a essere il terreno preferito per il dispiegamento di trojan bancari. Una di queste minacce che è attiva almeno dal 2018 ed è ancora in fase di sviluppo attivo è Vadokrist. I ricercatori hanno analizzato il codice sottostante del Vadokrist e hanno scoperto che condivide molteplici caratteristiche con diverse altre famiglie di trojan bancari della regione, principalmente Mekotio, Casbaneiro, Grandoreiro e Amavaldo. Tuttavia, diverse caratteristiche distinguono Vadokrist dal resto.

Il primo aspetto peculiare della minaccia è l'inclusione di una notevole quantità di codice inutilizzato all'interno dei binari. L'obiettivo era molto probabilmente quello di aumentare le possibilità della minaccia per evitare di essere rilevata, estendendo anche il tempo necessario per una corretta analisi del codice. Le versioni precedenti di Vadokrist memorizzavano le stringhe all'interno di una singola tabella di stringhe, in un modo simile a Casbaneiro, ma le varianti più recenti includono più tabelle di stringhe, ciascuna con un obiettivo diverso.

La seconda grande deviazione mostrata da Vadokrist è nella sua routine di raccolta dei dati. La maggior parte dei trojan bancari latinoamericani raccoglie varie informazioni sulle vittime, come i nomi dei computer e le versioni del sistema operativo Windows quando vengono eseguiti per la prima volta. Vadokrist non raccoglie solo un sottoinsieme più piccolo di dati; raccoglie solo il nome utente della vittima, ma lo fa nel momento in cui viene avviato un attacco contro un istituto finanziario.

Le capacità backdoor di Vadokrist sono la norma. La minaccia può manipolare il mouse e simulare l'input da tastiera, stabilire una routine di keylogger, acquisire schermate arbitrarie e riavviare il sistema infetto. È inoltre dotato di un modo piuttosto pesante per impedire agli utenti di accedere a determinati siti Web uccidendo direttamente il processo del browser Web. Il meccanismo di persistenza della minaccia include la generazione di una chiave Run o di un file LNK rilasciato nella cartella di avvio.

Vettore di attacco

Vadokrist viene propagato attraverso una campagna e-mail di spam. Le vittime vengono prese di mira con e-mail esche che trasportano due allegati di file danneggiati: archivi ZIP con un programma di installazione MSI e un archivio CAB. La catena di attacco salta la fase del downloader con Vadokrist che viene consegnato direttamente dalle e-mail.

Quando l'utente esegue il programma di installazione MSI, trova l'archivio CAB e ne estrae il contenuto sul disco. Quindi procede con l'esecuzione e l'incorporamento di un file JavaScript che ha stabilito il meccanismo di persistenza. Lo script riavvia il sistema compromesso e, al caricamento, passa all'esecuzione del malware Vadokrist stesso.

Il file JavaScript utilizza un nuovo metodo di offuscamento: abusa del modo in cui funziona l'operatore virgola in JavaScript per ridurre la leggibilità ed evitare l'emulazione in modo significativo. Le operazioni che utilizzano l'operatore logico AND vengono offuscate con una tecnica simile.

Tendenza

I più visti

Caricamento in corso...