Troyano Vawtrack, también conocido como Snifula o NeverQuest
Los investigadores de seguridad de SophosLabs han detectado Vawtrack v2 en una serie de ataques destinados a los bancos en países en los que el troyano no estaba activa anteriormente.
Vawtrack, también conocido como Snifula o NeverQuest, es uno de los troyanos bancarios más populares de la actualidad, ocupó el cuarto lugar en el año 2015 de acuerdo a Symantec. El troyano se ofrece como un servicio rentable en la web oscura en forma de una oferta Malware-as-a-Service. Muchos grupos criminales diferentes alquilar Vawtrack, y cada uno lo distribuye a través de sus propios métodos.
En un informe publicado la semana pasada, SophosLabs reveló que detectó una nueva campaña de spam utilizando el correo electrónico que afirma ser el envío entregas. Estos correos electrónicos contenían boobytrapped documentos de Word que se pide al usuario que habilitar las macros.
Los ladrones utilizan macros de Word para entregar Pony y luego Vawtrack v2
Activar la función macro de la palabra daría lugar a un conjunto de scripts automatizados que descargar e instalar el software malicioso Infostealer Pony. Los ladrones usan este malware para el reconocimiento local y si se encontraron datos de valor que podrían ser robados, que a continuación se entregue el troyano v2 Vawtrack.
Los investigadores observaron que en comparación con v1, v2 apoyo a nuevas dianas añadió. Vawtrack v1 es conocido por haber ido tras los bancos en Alemania, Polonia, Japón, los EE.UU., Arabia Saudita, Emiratos Árabes Unidos, Malasia, Portugal, España y el Reino Unido.
En v2, los autores del Vawtrack también ha añadido soporte para Canadá, Israel, Rumania, la República Checa y la República de Irlanda. Además, Vawtrack también agregó nuevos objetivos para los países admitidos previamente como el Reino Unido, los EE.UU. y Japón.
Vawtrack v2 es ahora más difícil de realizar ingeniería inversa
Pero SohposLabs no consideraron estos nuevos módulos Vawtrack WebInject ser el cambio más importante añadido a Vawtrack v2. La firma de seguridad dice que el troyano es ahora mucho más pequeño en el disco y cuenta con una arquitectura modular que permite a sus criminales para enviar nuevos módulos a cada diana infectada, expandiendo su conjunto de características.
Por otra parte, Vawtrack v2 se ha endurecido en contra de las operaciones de ingeniería inversa realizadas normalmente por los investigadores infosec. SohposLabs dice v2 rompió una gran cantidad de herramientas de seguridad utilizados para analizar el malware.
El uso de mayores niveles de ofuscación y los cambios en el cifrado del troyano ha análisis de este troyano fuertes retrasos.
negocio de Vawtrack está vivo y bien
"La nueva versión de Vawtrak muestra que la botnet está muy vivo, con los desarrolladores activos y una base de clientes próspera", señaló SophosLabs. "El ritmo con el que se introducen nuevas versiones de compilación muestra que las emisiones de productos están sucediendo con frecuencia."
La compañía también señala que los propietarios de Vawtrack están añadiendo constantemente nuevos servidores C & C en su infraestructura, lo cual hace alusión al hecho de que están funcionando un negocio en auge.
Fuente:softpedia