臭名昭著銀行木馬程序Vawtrak再度出現，主要針對金融服務公司，該木馬程序像俄羅斯套娃般有多層復雜性，并通過各種復雜的戰術來給企業構成威脅。

丹麥網絡安全公司Heimdal Security最近發現在加拿大15家金融機構接連遭受攻擊，超過15000臺機器受到影響。Heimdal稱，最新版本的Vawtrak能夠捕捉視頻和截圖，并使用中間人攻擊來捕獲未加密流量。

由于其相互依賴性和復雜性，Fortinet研究人員Raul Alvarez把這個類似Zeus的銀行木馬的分層可執行文件比作俄羅斯套娃。

“每個‘娃娃’(可執行的二進制文件)都有自己的一套算法和功能，導致生成下一個可執行文件，”Alvarez在博客中寫道，“每個二進制文件(除了最后一個)對下一個文件的產生發揮著重要的作用。”

根據Alvarez稱，第一個可執行二進制文件(外層娃娃)從其覆蓋部分產生第二個可執行二進制文件，而第二個可執行二進制文件(第二個娃娃)則解壓縮大塊數據來生成第三個可執行二進制文件。第三個可執行二進制文件(第三個娃娃)利用其資源部分生成最終的可執行二進制文件(最里面的娃娃)。

“第一、二和三層像是包裝，”Alvarez稱，“它們包裹著第四層—這可能是其他任何惡意軟件。”

Alvarez解釋說攻擊者可能使用另一個Vawtrak作為第四層。這種分層做法在理論上可以無限制地進行下去，創造某種非常復雜的金融惡意軟件。

Vawtrak被AVG Technologies公司分析師Jakub K?oustek比作是其攻擊者的瑞士軍刀，因為該木馬具有非常廣泛的功能。

根據Koustek的AVG白皮書顯示，Vawtrak支持竊取多種類型基于互聯網或本地存儲的登錄憑證;在用戶顯示網頁(網上銀行)注入自定義代碼;監視用戶(鍵盤記錄、截屏、捕獲視頻);對用戶機器創建遠程訪問(VNC、SOCKS);以及自動更新。

Vawtrak最早出現在日本;在停止一段時間后，它出現在美國、德國、捷克、英國和加拿大。Heimdal Security公司還報告稱該攻擊的命令控制中心似乎位于俄羅斯。Vawtrak通過下載收藏夾圖標來傳播，收藏夾圖表是包含病毒的微小的jpeg圖像。

“Vawtrak使用隱寫術來將更新列表隱藏在更新服務器中收藏夾圖表內，” Koustek寫道，“因此，這個下載乍一看似乎沒有什么可疑。每個收藏夾圖表的大小僅約為4KB，但這足以攜帶以最低有效位隱藏的更新文件。”

Vawtrak是針對金融機構的復雜僵尸網絡和先進惡意軟件的最新例證。根據PhishLabs的研究人員表示，最近對知名金融木馬的打擊行動在不經意間為創新的新金融惡意軟件(例如Vawtrak)提供了傳播機會。