Vadokrist

Latijns-Amerika bleef de voorkeursgrond voor de inzet van banktrojanen. Een van die dreigingen die actief is sinds ten minste 2018 en nog steeds in actieve ontwikkeling is, is Vadokrist. Onderzoekers analyseerden de onderliggende code van de Vadokrist en ontdekten dat deze meerdere functies deelt met verschillende andere bankiers-Trojaanse families uit de regio, voornamelijk Mekotio, Casbaneiro, Grandoreiro en Amavaldo. Toch onderscheiden verschillende kenmerken Vadokrist van de rest.

Het eerste bijzondere aspect van de dreiging is de opname van een aanzienlijke hoeveelheid ongebruikte code in de binaire bestanden. Het doel was hoogstwaarschijnlijk om de kans op de dreiging te vergroten om te voorkomen dat deze wordt gedetecteerd, terwijl ook de tijd die nodig is voor een goede analyse van de code wordt verlengd. Eerdere Vadokrist-versies bewaarden strings in een enkele stringtabel, op een manier vergelijkbaar met Casbaneiro, maar recentere varianten bevatten meerdere stringtabellen, elk met een ander doel.

De tweede grote afwijking die door Vadokrist wordt getoond, betreft de routine voor het verzamelen van gegevens. De meeste Latijns-Amerikaanse banktrojans verzamelen verschillende informatie over hun slachtoffers, zoals computernamen en Windows OS-versies wanneer ze voor het eerst worden uitgevoerd. Vadokrist verzamelt niet alleen een kleinere subset van gegevens; het verzamelt alleen de gebruikersnaam van het slachtoffer, maar doet dit op het moment dat er een aanval wordt gestart tegen een financiële instelling.

De achterdeurtjes van Vadokrist horen bij de cursus. De dreiging kan de muis manipuleren en toetsenbordinvoer simuleren, een keylogger-routine opzetten, willekeurige schermafbeeldingen maken en het geïnfecteerde systeem opnieuw opstarten. Het is ook uitgerust met een nogal hardhandige manier om te voorkomen dat gebruikers toegang krijgen tot bepaalde websites door het webbrowserproces direct te beëindigen. Het persistentiemechanisme van de dreiging omvat het genereren van een Run-sleutel of een LNK-bestand dat wordt vrijgegeven in de opstartmap.

Aanval Vector

Vadokrist wordt verspreid via een spam-e-mailcampagne. Slachtoffers worden aangevallen met lokaas-e-mails met twee beschadigde bestandsbijlagen: ZIP-archieven met een MSI-installatieprogramma en een CAB-archief. De aanvalsketen slaat de downloader-fase over en Vadokrist wordt rechtstreeks door de e-mails afgeleverd.

Wanneer de gebruiker het MSI-installatieprogramma uitvoert, vindt het het CAB-archief en extraheert het de inhoud naar de schijf. Vervolgens wordt een JavaScript-bestand uitgevoerd en ingebed dat het persistentiemechanisme heeft ingesteld. Het script start het gecompromitteerde systeem opnieuw en gaat bij het laden verder met het uitvoeren van de Vadokrist-malware zelf.

Het JavaScript-bestand gebruikt een nieuwe obfuscatiemethode: het misbruikt de manier waarop de komma-operator in JavaScript werkt om de leesbaarheid te verminderen en emulatie aanzienlijk te voorkomen. Bewerkingen die de logische AND-operator gebruiken, worden versluierd met een vergelijkbare techniek.