החוקרים הזדוניים נרשמו קמפיין הסייבר חדש שממקד משתמשי ה- PC, תוקפים אותם עם טרויאני אפייה Vawtrak. לדברי מומחי האבטחה, התוקפים משתמשים בקובץ VBS עם דגל מעקף מדיניות ביצוע ולהסתמך על שגרת פשרה הכוללת שימוש של מסמכי Microsoft Word מחוברים עם פקודות מאקרו זדוניות. הבנקים אשר ממוקדים על ידי פושעי הסייבר כוללים ברקליס ובנק אוף אמריקה, HSBC ו- Citibank, J.P. מורגן לוידס בנק.
טקטיקות בלתי מובנים
פושעי הסייבר מיישם טקטיקות התחמקות מרובות כדי להסתיר את הפיגוע. אחת הסכמות שהן חלות היא לספק תוכן מסמך כי נראה מקושקש מתבהר רק לאחר תכונת מאקרו משמשת, נמצא רכיב התוכנה של Word. טקטיקה נוספת היא המשלוח של קובץ VBS אשר מגיע עם דגל מופעל לעוקף מדיניות חיסולים. דגל זה משמש בדרך כלל על ידי מנהלי המערכת בצורה של מנגנון הביטחון כדי למנוע ממשתמשים להפעיל סקריפטים שאינם עומדים בדרישות מדיניות.
הסקריפטים הפקודה מעקף רשאים להפעיל קבצים ללא הנפקת אזהרות וללא מגבלות. המיילים הזדוניים שהמשתמשים מקבלים מתיימרים להיות שמקורן בשירותים נחשבים כמו פדקס או אמריקן איירליינס, ליידע את המקבלים לגבי הגעתו של חבילה או עסקה עם הכרטיס שלהם. הודעות אלה באים עם קובץ מצורף – מסמך ב- Word המספק פרטים נוספים על העניין מוצג בהודעה.
כפי הקורבנות לפתוח את קובץ הטקסט, הם הנחיות להפעיל את הפקודות מאקרו - אוסף של פקודות עם מטרה לגיטימית לרוץ שגרות אוטומטיות מסמך Office. תכונה זו מופעלת כברירת מחדל על ידי מיקרוסופט ב כל רכיבי Office, כמו שזה התחיל המנוצל לרעה על ידי שחקנים זדוניים. המשתמשים שצריכים פקודות מאקרו עבור משימות אוטומטיות יכול לאפשר פקודות מאקרו אלה באופן ידני מהמוצר.
עם קמפיין Vawtrak הנוכחי המאקרו מכיל פקודות להורדת סקריפט VBS, קובץ אצווה קובץ PowerShell. התהליך הולך ככה - הקובץ יצווה מפעיל את VBS, וזה הופך אותו מבצע את קובץ PowerShell אשר מתעל את התוכנות זדוניות לתוך מערכת המחשב. פושעי הסייבר להשתמש שרשרת זיהום שלושה-שלב זה כמו טקטיקת התחמקות. תיאוריה זו נתמכת יותר על ידי דגל ביצוע מעקף שהבנק קובע את התסריט VBS.
משתמש בארה"ב - המושפע ביותר
על פי מחקר של מומחים תוכנות זדוניות, נתוני ההתחברות הגונבים Vawtrak מוחלים ב- Outlook של מיקרוסופט ואת אישורי מאוחסן ב- Google Chrome ו- Mozilla Firefox, ולקוחות FTP. Vawtrak טרויאני נותח כדי להתחבר אל דפדפן האינטרנט לעקוף את מנגנון SSL.
ופושעי האינטרנט להפעיל את החיבור אל הבנק באמצעות התשתית שלהם ולשרת את הלקוח עם דפים שונים. בדרך זו הקורבן הוא שולל מתן קוד אימות דו שלבי של אחד. ואז זה נראה כמו כאילו עסקות ההונאה מתבצעות מהמערכת של הקורבן.
גרסה זו של Vawtrak פגעה בעיקר למשתמשים בארה"ב (60 %), ואחריו משתמש ב יפן (10 %), גרמניה (7 %), בא אחריו הממלכה המאוחדת (4.5 %) ו אוסטרליה (3.5 %).