La compañía Sophos descubrió que el troyano bancario Vawtrak ha sido objeto de considerables modificaciones que permiten afirmar que ha aparecido una nueva versión de este programa malicioso. Como escribe Help Net Security, haciendo referencia al nuevo informe de la empresa de seguridad informática, los autores de Vawtrak mejoraron su esquema de cifrado, elevaron el nivel de ofuscación del código y le agregaron modularidad. También se amplió la geografía de los blancos del troyano, que dejó de centrarse en objetivos estadounidenses e ingleses y ahora ataca también bancos de Canadá, Irlanda, Japón, la República Checa, Rumania e Israel.
El troyano bancario Vawtrak también conocido como Snifula y Neverquest, apareció en Internet hará unos tres años y desde entonces se ha venido perfeccionando todo el tiempo. Se ofrece en el mercado negro como un servicio, por lo que se puede distribuir de varias formas, pero la más utilizada son los adjuntos maliciosos en el spam. Los correos electrónicos maliciosos por lo general fingen ser notificaciones sobre mensajes no entregados al destinatario o un nuevo fax o factura y contienen un documento de Word. Al abrir dicho adjunto, se le pide al usuario habilitar una macro y si sigue estas instrucciones, se descarga el ladrón de contraseñas Poni en el equipo. Este troyano es notable porque se lo suele utilizar para descargar otros programas maliciosos. En este caso, después de robar las credenciales de aplicaciones cliente, recibe un comando para descargar Vawtrak.
El análisis de la versión 2 del troyano bancario mostró que ahora ocupa menos espacio en el disco y tiene una arquitectura modular que hace fácil de extender su funcionalidad en cada equipo infectado. En la actualidad, el malware utiliza sólo módulos estándar que permiten robar certificados, historial de navegación y cookies de Chrome y Firefox, hacer inyecciones web, etc.
También Vawtrak reforzó su protección contra la ingeniería inversa. “Muchas cadenas del binario, previamente distinguibles como texto sin formato, ahora están cifradas, – constatan los investigadores. – Esas líneas, que ahora están cifradas, se van descifrando cuando hacen falta. Esta es una técnica estándar utilizada por una variedad de programas nocivos para dificultar su análisis”.
La comunicación de Vawtrak 2 con el el servidor de administración se lleva a cabo a través de HTTP. Pero la lista de servidores de administración cambia con frecuencia, y el malware tiene la alternativa de recibirlos directamente desde la red Tor, aunque en la actualidad esta funcionalidad, según Sophos, no se utiliza.
“Todos los módulos y las actualizaciones tienen una firma digital, como la versión 1, – dicen los expertos. – Su autenticidad se verifica utilizando la clave pública incrustada en código binario”. Es de destacar que la clave pública utilizada por el nuevo Vawtrak es, como antes, la misma para todas las muestras. Esto llevó a los investigadores a pensar que el control general de la red de bots lo realiza un solo grupo.
La sustitución de uno de los servidores de administración de Vawtrak con el método sinkhole le permitió a Sophos descubrir un nuevo clúster en el Este de Asia. A juzgar por el archivo de configuración, los principales objetivos del troyano son los bancos y otras instituciones financieras, aunque también es capaz de atacar a algunos minoristas, compañías de telecomunicaciones y redes sociales.
Fuentes: Helpnetsecurity
Vawtrak es ahora un constructor y ha fortalecido su protección