Создатели загрузчика Hancitor пользуются новыми методиками доставки вредоносного программного обеспечения, которые существенно усложняют его обнаружение. Новый вариант Hancitor все еще занимается распространением и загрузкой таких программ, как Pony и Vawtrak, но его создатели поменяли методику доставки полезной нагрузки вредоносного ПО.
Как сообщают специалисты компании FireEye Анкит Анубхав и Дилип Кумар Джаллепалли, загрузчик теперь имеет трехсторонний подход к доставке. Два метода предполагают применение функций Windows API CallWindowProc и EnumResourceTypesA для выполнения шелл-кода. Третий способ связан с возможностью Hancitor осуществлять обфускацию вредоносных команд PowerShell. По словам исследователей, активация вредоносного макроса пользователями дает киберпреступникам возможность выполнять команды PowerShell.
Чтобы создать команды, вредоносная программа занимается комбинированием фрагментов кода из изображения, которое содержится во вредоносном вложении. Далее PowerShell осуществляет загрузку и распаковку вредоносного ZIP-архива с веб-сайта, находящегося под контролем злоумышленников. После того, как распакованный исполняемый файл загружен, код удаляет архив и осуществляет запуск другого файла. Последний производит загрузку вредоносных программ Pony и Vawtrak. Pony похищает информацию и учетные данные, а Vawtrak является банковской троянской программой, способной собирать логины и пароли пользователей банковских онлайн-сервисов, а также проводить перевод средств на счета злоумышленников.