安全研究人员发现了一个传播Vawtrak银行木马的恶意活动。它们的目标是加拿大的多个银行客户。
这个恶意软件也被称为Neverquest及Snifula。它是一款先进的恶意软件,通过远程桌面控制被攻陷计算机隐藏痕迹,随后窃取金融信息、进行交易。
恶意软件作者依赖实时网络注入技巧为受害者展现欺骗性屏幕,要求获得访问在线银行账户的必要信息。
这种方法还可捕获通过单独token获取且基于离线卡验证或PIN号码的双因素认证代码。
命令及控制服务器注册于今年2月份
Heimdal安全公司的研究员分析指出,网络犯罪分子传播Vawtrak的方法包括路过式下载攻击、社交媒体网站上的钓鱼活动、以及垃圾邮件方式。
研究人员表示,这个变种的攻击目标是位于加拿大的愈15家金融机构,并且连接了位于世界不同地区的6个命令及控制服务器。在whois网站上进行查询后得知,除一个命令及控制服务器外,其它服务器注册于2015年2月25日。最近的注册时间是2015年2月16日,正好与恶意活动发布日期相近。
反病毒公司AVG安全研究人员指出,Vawtrak具有复杂的功能,其中包括对抗大量可能会在被感染计算机上运行的安全解决方案。
这个恶意软件试图通过启用Windows系统上的软件限制策略机制来禁用反病毒产品。这个功能的目标是网络管理员,目的是获取在被控制端点上执行的软件。
Vawtrak变得更为强大
Vawtrak的最新版本增加了一个新功能即窃取敏感信息:如来自不同程序的密码(通过Pony 信息窃取模块)、数字证书及cookies、日志键盘记录器、并且截获视频及屏幕截图。
AVG表示,这款恶意软件没有显示出活动会减少的迹象,而且在每两天到五天的时间内,针对区域及银行的功能微调就会引发检测高峰。
AVG的遥测数据显示,受影响最大的国家为捷克共和国、美国、英国及德国。
AVG指出,“从应用广度及功能丰富性来讲,Vawtrak就像一把瑞士军刀。”
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。