Vadokrist

A América Latina continuou a ser o local preferido para a implantação de Trojans bancários. Uma dessas ameaças que está ativa desde pelo menos 2018 e ainda está em desenvolvimento é o Vadokrist. Os pesquisadores analisaram o código subjacente do Vadokrist e descobriram que ele compartilha várias características com várias outras famílias de Trojans bancários da região, principalmente o Mekotio, Casbaneiro, Grandoreiro e o Amavaldo. Ainda assim, várias características diferenciam o Vadokrist dos demais.

O primeiro aspecto peculiar da ameaça é a inclusão de uma quantidade substancial de código não utilizado dentro dos binários. O objetivo era aumentar as chances de a ameaça evitar ser detectada e, ao mesmo tempo, estender o tempo necessário para a análise adequada do código. As versões anteriores do Vadokrist armazenavam strings dentro de uma única mesa de string, de maneira semelhante ao Casbaneiro, mas as variantes mais recentes incluem várias tabelas de string, cada uma com um objetivo diferente.

O segundo maior desvio exibido por Vadokrist está em sua rotina de coleta de dados. A maioria dos cavalos de Troia bancários latino-americanos coleta várias informações sobre suas vítimas, como nomes de computador e versões do sistema operacional Windows, quando são executados pela primeira vez. O Vadokrist não apenas coleta um subconjunto menor de dados; ele coleta apenas o nome de usuário da vítima, mas o faz no momento em que um ataque é iniciado contra uma instituição financeira.

As capacidades de backdoor do Vadokrist são normais. A ameaça pode manipular o mouse e simular a entrada do teclado, estabelecer uma rotina de keylogger, fazer capturas de tela arbitrárias e reiniciar o sistema infectado. Ele também é equipado com uma forma bastante pesada de impedir que os usuários acessem certos sites, eliminando diretamente o processo do navegador. O mecanismo de persistência da ameaça inclui a geração de uma chave Run ou um arquivo LNK liberado na pasta de inicialização.

O Vetor de Ataque

O Vadokrist está sendo propagado por meio de uma campanha de e-mail de spam. As vítimas são atacadas com e-mails de isca contendo dois anexos de arquivo corrompidos - arquivos ZIP com um instalador MSI e um arquivo CAB. A cadeia de ataque pula a fase de download, com o Vadokrist sendo entregue pelos e-mails diretamente.

Quando o usuário executa o instalador MSI, ele encontra o arquivo CAB e extrai seu conteúdo para o disco. Em seguida, ele executa e incorpora um arquivo JavaScript que estabeleceu o mecanismo de persistência. O script reinicia o sistema comprometido e, durante o carregamento, prossegue para a execução do próprio malware Vadokrist.

O arquivo JavaScript usa um novo método de ofuscação - ele abusa da maneira como o operador vírgula funciona em JavaScript para reduzir a legibilidade e evitar a emulação de forma significativa. As operações que usam o operador lógico AND são ofuscadas com uma técnica semelhante.

Tendendo

Mais visto

Carregando...