Lo que vas a encontrar...
Investigador de seguridad ha descubierto algunas nuevas características en el más peligroso troyano llamado Vawtrak, el malware permite enviar y recibir datos a través de favicons cifrados distribuidos por la red Tor.
El investigador, Jakub Kroustek de la firma de antivirus AVG, ha proporcionado un análisis en profundidad (PDF) en el nuevo y complejo conjunto de características del malware que se considera como una de las amenazas más peligrosas que existen.
Vawtrak es una sofisticada pieza de malware en términos de características compatibles. Es capaz de robar información financiera y realizar transacciones desde el equipo afectado de forma remota sin dejar huellas. Las características incluyen vídeos y capturas de pantalla, como también lanzar ataques man-in-the-middle.
Cómo Diferenciar VAWTRAK?
La firma antivirus AVG está advirtiendo a los usuarios que ha descubierto una campaña de Vawtrak para obtener acceso a las cuentas bancarias visitadas por la víctima y utilizando el módulo Pony para robar una gran variedad de credenciales de acceso de las víctimas.
El troyano Vawtrak se propaga usando una de las tres siguientes formas:
- Drive-by download – adjuntos o enlaces de correo electrónico de spam a sitios comprometidos
- Downloader Malware – como Zemot o Chaintor
- Exploit Kit – como como Angler Exploit Kit
Ultimas Funciones
Según el investigador, Vawtrak está usando el proxy Tor2Web para recibir actualizaciones de sus desarrolladores.
«De particular interés desde el punto de vista de seguridad es que mediante el uso de proxy Tor2web, se puede acceder a los servidores de actualización que se alojan en los servicios web Tor ocultas sin necesidad de instalar un software especializado como Torbrowser», dice Kroustek. «Por otro lado, la comunicación con el servidor remoto se realiza a través de SSL, el cual añade cifrado.»
La última muestra de Vawtrak utiliza esteganografía para ocultar archivos de actualización dentro de favicons para ocultar las descargas maliciosas. Los favicons son las pequeñas imágenes utilizadas por los sitios web para añadir icono en los marcadores de sitios web y las pestañas del navegador.
Una vez ejecutado en la máquina de la víctima, Vawtrak realiza las siguientes acciones:
- Desactiva la protección del antivirus.
- Inyectar código personalizado en una página web que aparece al usuario (usualmente se relaciona con la banca en línea)
- Roba contraseñas, certificados digitales, el historial del navegador, y cookies.
- Vigilancia de la víctima (clave de registro, realizar capturas de pantalla, captura de vídeo)
- Crea un acceso remoto a la máquina de un usuario (VNC, sockets)
- Actualización automática.
Vawtrak funciona en los tres principales navegadores web, Internet Explorer, Firefox y Chrome. También es compatible con el robo de contraseñas de los otros navegadores.
Países Afectados
Sobre la base de sus estadísticas, Vawtrak está infectando a la banca, juegos y usuarios de redes sociales, principalmente a través de los países, incluyendo Reino Unido, Estados Unidos y Alemania. Aunque, los usuarios en Australia, Nueva Zelanda, y en toda Europa también se ven afectados.
AVG concluye tras su análisis del malware que «Vawtrak es como una navaja suiza para sus operadores, debido a su amplia gama de aplicaciones y funciones disponibles.»
