网银木马VAWTRAK最新变种：以Word宏和PowerShell为武器，瞄准大型国际金融机构

近日，趋势科技的安全专家们发现一种名为VAWTRAK的网银木马增长迅速，该木马大量使用恶意Word宏和Windows PowerShell脚本，攻击者们已经利用该木马瞄准了花旗、汇丰、摩根大通、美国银行在内的国际金融机构。

背景信息

2015年初，微软恶意软件防护中心（MMPC）发布警报，提示大量使用宏来传播恶意代码的恶意软件增长迅猛。MMPC的专家们发现，基于宏功能的恶意软件正在大量增加，其中最活跃的当属恶意软件Adnel和Tarbir。

早在去年，安全研究人员们就发现攻击者开始使用Windows PowerShell指令shell并通过恶意宏下载器来传播恶意软件ROVNIX。而现在，人们则发现攻击者正在使用微软Word中的恶意宏来传播网银木马VAWTRAK。

趋势科技在2014年6月份首次注意到网银木马VAWTRAK利用Windows系统中称为“软件限制策略（SRP）”的特性阻止受害系统运行大部分的安全软件，这些安全软件包括趋势科技Antivirus、ESET、赛门铁克AVG、微软、因特尔等53种知名安全软件。当时该网银木马瞄准了日本、德国、英国和瑞士的银行客户。

而近日，攻击者们正利用该木马攻击金融机构，包括美国银行、巴克莱银行、花旗银行、汇丰银行、劳埃德银行和摩根大通集团。

木马功能及攻击流程

攻击链以网络钓鱼邮件开始，用来传播VAWTRAK网银木马的诈骗信息都经过精心制作，以使得它们看起来好像来自联邦邮件公司。

在基于Windows宏感染的其他事例中可以观察到，当邮件收件人打开文档时将首先看到一些乱七八糟的符号，然后会提示受害者为了正确查看该消息需要启用宏。

在趋势科技发布的一篇报告中说道：

收件人一旦启用了宏，一个批处理文件将会被植入到受害者电脑上，此外还包含有一个.VBS文件和PowerShell脚本文件。该批处理文件用来执行.VBS文件，然后会提示运行PowerShell脚本，PowerShell文件最后会下载VAWTRAK木马变种，该木马目前被杀毒软件识别为“BKDR_VAWTRAK.DOKR”。