Разработчики загрузчика Hancitor используют новые методы доставки вредоноса, значительно усложняющие его обнаружение. Новая версия Hancitor по-прежнему распространяется через вредоносную рассылку и используется для загрузки вредоносного ПО, такого как Pony и Vawtrak, однако его авторы изменили метод доставки полезной нагрузки вредоноса.
По словам специалистов компании FireEye Анкита Анубхава (Ankit Anubhav) и Дилипа Кумара Джаллепалли (Dileep Kumar Jallepalli), теперь загрузчик применяет трехсторонний подход к доставке. Два метода предполагают использование функций Windows API CallWindowProc и EnumResourceTypesA для выполнения шелл-кода. Третий, пожалуй, самый интересный способ связан с возможностью Hancitor обфусцировать вредоносные команды PowerShell. Как пояснили исследователи, когда пользователи активируют вредоносный макрос, они предоставляют злоумышленникам возможность выполнять команды PowerShell.
Для создания команды вредонос комбинирует фрагменты кода из содержащегося во вредоносном вложении изображения. Далее PowerShell загружает с подконтрольного злоумышленникам web-сайта содержащий полезную нагрузку .ZIP архив и распаковывает его. После загрузки исполняемого файла, код удаляет архив и запускает исполняемый файл, который, в свою очередь, загружает вредоносы Pony или Vawtrak. Первый предназначен для хищения информации и учетных данных, второй представляет собой банковский троян, способный похищать логины и пароли пользователей сервисов online-банкинга и переводить средства на сторонние счета. (FireEye/NovostIT)