Troyano bancario Vawtrak se fortalece con DGA y Pinning SSL

Los encargados del troyano bancario Vawtrak han estado ocupados estas últimas semanas actualizando el programa para que incluya un nuevo algoritmo para generar dominios (DGA) y habilidades de Pinning SSL.

La compañía de seguridad Fidelis publicó el martes los resultados de una investigación que explica en qué consisten las actualizaciones y detalla cómo el DGA de Vawtrak genera dominios, se conecta a ellos y valida sus certificados. Los investigadores basaron sus estudios en dos ejemplares obtenidos el 28 de julio y el 1° de Agosto.

La última versión de Vawtrak divide el proceso de comando y control en dos etapas. El sitio web alojado en DGA entrega al servidor de comando y control una lista de dominios mientras el primer dominio activo devuelve otra lista estática.

“Para complicar las cosas, los desarrolladores agregaron otra sección que, cuando se descifra, tiene una lista de dominios de comando y control que el bot también utilizará para establecer comunicaciones con el servidor”, explica el informe de Fidelis, escrito por Jason Reeves.

Los investigadores de PhishLabs también descubrieron a finales de julio que el programa malicioso estaba usando un DGA para identificar su servidor de comando y control. Los investigadores de Fidelis expandieron los límites del estudio para invertir la ingeniería del algoritmo.

No se sabe por qué los creadores de Vawtrak tardaron tanto en implementar un DGA, que es una técnica muy común entre los cibercriminales, principalmente en redes zombi o botnets. Los expertos de Fidelis creen que podrían estar actuando con precaución porque se interrumpieron sus intentos anteriores.

“No tenemos conocimientos suficientes del caso como para afirmar por qué acaban de adoptar un DGA después de tanto tiempo, pero la decisión podría estar vinculada con operaciones previas que se interrumpieron cuando su infraestructura se confiscó o cayó en un ‘sinkhole'”. Hardik Modi, director de Investigaciones de amenazas de Fidelis Cibersecurity, indicó a Threatpost el lunes: “Estas serían reacciones lógicas a las acciones de las autoridades y otros investigadores de seguridad”.

Además del DGA, el troyano ha adoptado un sistema de revisión o “pinning” de certificados SSL para que el programa pueda superar situaciones “man-in-the-middle”. El pinning SSL agrega una capa de protección a la validación de certificados para garantizar que la conexión sea segura.

Los investigadores dicen que el último DLL de Vawtrak tiene el código necesario para establecer una conexión HTTPS que proteja sus comunicaciones de comando y control. El troyano también puede verificar el certificado que recibe del servidor de comando y control. Fidelis dice en su informe:

Suma todos los caracteres de Common Name, divide el byte por 0x1a y agrega 0x61, que debería ser igual al primer carácter (Figura 5). También emplea una llave pública del encabezado ya mencionado para verificar el hash de la firma introducida en el campo SubjectKeyIdentifier del certificado.

Mientras que el uso de un DGA es estándar en troyanos como este, la técnica que Vawtrak empleó para revisar los certificados todavía no ha sido muy explorada.

“Nuestras observaciones revelaron que su uso sigue siendo escaso”, dijo Modi, y afirmó que su equipo lo había visto con más frecuencia en herramientas de espionaje selectivo que en el resto de entornos cibercriminales.

No es ninguna sorpresa que los criminales hayan afinado Vawtrak, a veces llamado Neverquest, para cubrir sus rastros. Los encargados del troyano se han esforzado mucho para ocultar sus servidores estos últimos años. En junio pasado, los investigadores notaron que el troyano estaba escondiendo algunos de sus servidores en Tor2Web para evadir su detección.

Modi dijo que el troyano se distribuía sobre todo mediante correos spam maliciosos, pero también aparecía en paquetes de exploits.

“Puede que quieran confirmar que su método funciona antes de transferirlo a los paquetes de exploits”, dijo Modi.

Fuentes: Threatpost