Expertos en seguridad de la firma de inteligencia cibernética blueliv han llevado a cabo una investigación técnica sobre el troyano bancario Vawtrak v2 y las actividades de los grupos de ciberdelincuentes detrás de la amenaza.
Vawtrak es una amenaza que ha estado en estado salvaje desde 2014, cuando expertos de Trend Micro detectaron la amenaza que se dirige a los usuarios japoneses de Internet. La primera variante de BKDR_VAWTRAK abusa de una característica de Windows llamado Políticas de restricción de software (SRP) para evitar que los sistemas de las víctimas de la ejecución de una amplia gama de programas de seguridad
Vimos varias versiones del software malicioso en los últimos años, la última variante de Vawtrak fue descubierto este verano por los expertos de la firma de Fidelis. La nueva versión del troyano bancario Vawtrak incluye importantes mejoras, como la colocación de claves SSL.
Investigadores de blueliv ahora han llevado a cabo una ingeniería inversa del troyano bancario Vawtrak que confirmó la presencia de dos infraestructuras claramente diferenciadas. Una infraestructura dedicada exclusivamente a la distribución de malware (principalmente de spam), y una segunda que se utiliza para el mantenimiento, el control y la comunicación de los datos robados.
El análisis de la v2 Vawtrak reveló una infraestructura compleja utilizado para entregar el malware, así como otros troyanos.
Moskalvzapoe utiliza varios servidores de alojamiento de mando y control (C2) para Vawtrak y otros troyanos (es decir, Pony stealer credencial). La amenaza se propaga la primaria a través de correo basura y drive-by mecanismos de descarga que participa Exploit Kits.
La infraestructura Moskalvzapoe presenta una topología de red inusual en cuanto a la forma ladrones han establecido servidores C & C y la forma en que rotan sus dominios y direcciones IP expuestos.
"Todos estos anfitriones de desvío de todas las conexiones entrantes hacia el back-end." segun blueliv. "Los troyanos se redujo en los cargadores se encuentran generalmente en servidores comprometidos que comparten varias características, incluyendo la geolocalización. La mayoría de los equipos comprometidos se pueden encontrar en Rusia. Por lo general, estas máquinas están en peligro utilizando las vulnerabilidades de seguridad que se encuentran en software de uso común como WordPress, Joombla , o Bitrix. Además, el despliegue de Pony en forma de mano, el malware de robo de credenciales, les permite el acceso a otras máquinas y servicios".
El Vawtrak V2 es capaz de llevar a cabo nuevas acciones mediante el uso de módulos adicionales, aumentando significativamente sus capacidades. Estos módulos más comunes utilizados por el troyano bancario son:
- Robar las credenciales de diferentes aplicaciones instaladas en el huésped.
- Proporcionar a los atacantes con acceso remoto.
- Utilice el host como un proxy.
- Robar certificados.
- Registrar las pulsaciones del usuario.
- WebInject módulo.
Se observó el mayor número de infecciones Vawtrak v2 de Estados Unidos (69.010), seguido por Canadá (6777) y el Reino Unido (969), por su parte, el impacto en Europa fue mínima.
"La cantidad total de datos se filtraron por el botnet es más de 2.500.000 credenciales. El hecho de que Estados Unidos es el país más afectado se refleja también en los servicios más afectados ".
El análisis publicado por BlueLive reveló el uso de las redes de comunicación a gran escala que se incrementó de manera significativa el nivel de sofisticación de las infraestructuras criminales para apoyar la distribución de Vawtrak V2 en todo el mundo.
Los datos del informe muestra la asombrosa habilidad de los grupos de delitos informáticos que tienen jerarquías complejas y la disponibilidad de un modelo de negocio eficiente.
OTRAS CATEGORIAS
