22/01/21
Эксперты ESET опубликовали исследования трояна Vadokrist, специально ориентированного на финансовые учреждения Бразилии. Вредоносная программа с 2018 года использовала бэкдор и распространялась через спам-сообщения.
В отличие от большинства других латиноамериканских банковских троянов, например, Mekito, бразильский вирус не собирал информацию о жертвах сразу после успешного взлома их устройств. Vadokrist, написанный на Delphi с необычайно большим объемом неиспользуемого кода в двоичных файлах, успешно «прятался».
«Подавляющее большинство латиноамериканских банковских троянов собирают информацию о компьютере жертвы при первом запуске. Единственная информация, которую собирает Vadokrist, — имя пользователя жертвы. Это происходит только после инициирования атаки на целевое финансовое учреждение», - рассказал координатор расследования ESET Якуб Соучек.
Несмотря на отсутствие возможности собирать информацию, Vadokrist управляет мышью и имитирует ввод с клавиатуры, регистрирует нажатия клавиш, делает снимки экрана и без ведома пользователя перезагружает компьютер.
«Троян также может заблокировать доступ к банковским веб-сайтам, останавливая процессы браузера. Таким образом предотвращается доступ жертв атаки к их банковским счетам в интернете. В то же время злоумышленники сохраняют контроль над банковским аккаунтом», - сообщил Якуб Соучек.
Спам-сообщения, распространяющие Vadokrist, содержат два вложенных ZIP-архива: установщик MSI и архив CAB. Если жертва запускает программу установки, то реализуется сценарий, требующий от пользователя перезагрузить компьютер. При новом запуске загрузчик MSI активирует встроенную библиотеку DLL — банковский троян Vadokrist. На Рис. 2 видно, что фактически загрузчик отсутствует; банковский троян распространяется напрямую через спам-сообщения.
Подробнее о технических сведениях и деталях расследования Vadokrist читайте в блоге ESET.
