Zagrożenie ze strony trojana Waski (Upatre lub Kazy) systematycznie wzrasta, głównie w krajach anglojęzycznych, ale niewykluczone, że w końcu dotknie swoim szkodliwym działaniem Polaków mieszkających za granicą naszego kraju, a może nawet nas samych na ziemi naszych ojców.

Pierwsze próbki trojana zauważono już dosyć dawno temu, bo pod koniec roku 2013, jednak najbardziej niepokojący jest fakt, że o ile w swoich pierwszych miesiącach żywota trojan atakował wyłącznie klientów niemieckich i szwajcarskich banków, o tyle teraz jego dystrybucja rozprzestrzeniła się na kraje zachodnie, w tym USA, Kanadę, Irlandię i Wielką Brytanię.

Trojan Waski rozprzestrzenia się głównie poprzez fałszywe wiadomości elektroniczne, które zawierają załącznik PDF. Nieostrożny użytkownik może stać się ofiarą scamu i otworzyć plik wykonywalny, który podszywa się pod PDF. Po uruchomieniu trojana ładuje on do pamięci szkodliwy kod, który zbiera informacje o komputerze – tworzy dla niego „numer identyfikacyjny” na podstawie publicznego numeru IP (pozyskuje go łącząc się z komputera do usługi wykrywającej adres IP), nazwy komputera, wersji Windowsa oraz zainstalowanego service packa. Z tych zebranych informacji tworzy niepowtarzający się i identyfikujący ofiarę numer, który następnie wysyłany jest do kontrolowanego przez przestępców serwera zarządzająco-kontrolnego (Command and Control).

Trojan Waski

Jednak to nie trojan Waski jest najgroźniejszy – jest on tylko pośrednikiem w ataku i pobiera dodatkowe komponenty szkodliwego oprogramowania Battdil na komputer ofiary. Battdil składa się z dwóch części – wtryskiwacza kodu (injector) i szkodliwego ładunku (payload). Ten pierwszy jest plikiem exe i zawiera szkodliwą bibliotekę DLL, która przechowywana jest w oryginalnym pliku. Ten drugi jest już faktycznym zagrożeniem i może przechwytywać dane logowania z przeglądarek Internet Explorer, Firefox, Chrome, i innych. Ponadto, strony internetowe banków można tak manipulować, że ofiara nie będzie w stanie odróżnić prawdziwej od fałszywej. Wszystkie zabrane przez trojana dane: numer identyfikacyjny, hasło, PIN z karty kredytowej są wysyłane szyfrowanym tunelem SSL do serwera C2, co więcej, Battdil potrafi komunikować się z serwerem za pomocą anonimowego połączenia I2P.

Trojan Kazy

Trojan Waski, Upatre lub Kazy o ile nie jest już nowym zagrożeniem, o tyle rozbudowa tego szkodnika o dodatkowe komponenty może utrudnić jego wykrycie z każdą nową powstałą odmianą. Warto tutaj nadmienić, że szkodnik jest downloaderem - pobiera niebezpieczne komponenty na komputer ofiary i w związku z tym, firewall, jako dodatkowy składnik ochrony może stać się na wagę złota. Użytkownicy, których zabezpiecza oprogramowanie Arcabit AntiVirus lub Arcabit Intetrnet Security są bezpieczni. Programy antywirusowe Arcabit wykrywają tego trojana jako Trojan.Kazy.

źródło: ArcabitArcabit.pl