Utilizan el malware Chanitor para instalar el troyano Vawtrak

Escrito por Adrián Crespo
Seguridad
0

Seguro que el nombre de Vawtrak no indica mucho a la amplia mayoría de usuarios, pero si mencionamos Neverquest seguro que ya imagináis de qué estamos hablando. Los ciberdelincuentes han publicado una nueva versión del troyano bancario, distribuyéndose gracias a otro malware que también se encuentra muy extendido. Chanitor es en esta ocasión la vía de expansión del primero entre los equipos de los usuarios.

El segundo de ellos es una popular aplicación maliciosa que se está distribuyendo utilizando correos electrónicos spam y sitios web infectados, permitiendo una vez que se ha instalado de forma correcta la llegada de más virus informáticos al equipo. Los correos electrónicos que poseen a Chanitor como archivo adjunto indican que se han realizado compras no autorizadas con la tarjeta crédito o utilizando una cuenta existente en algún servicio, como por ejemplo la Apple Store. De esta forma, se obliga al usuario a consultar una factura adjunta que este acepta descargar. Sin embargo, al abrir el archivo se produce la instalación del malware en el equipo, aunque hay que decir que si existe en este una herramienta de seguridad activa la instalación podría detenerse de forma satisfactoria.

Tal y como es habitual en estos casos los equipos afectados son Windows, desde las versiones de XP hasta las más recientes de Windows 8.1.

El servidor de control de Chanitor está localizado en la red TOR

Nuevamente el debate está abierto. Las ventajas de la red TOR no se aprovechan de forma legítima y una vez más nos encontramos con la presencia de un servidor de control de un virus ubicado en esta red, evitando de esta forma que pueda desconectarse. Este servidor permite a Chanitor recibir órdenes, descargas de más contenidos malware que se instalarán en el equipo y también actualizaciones para mejorar sus funciones y mejorar la compatibilidad con las últimas versiones de los sistemas operativos Windows.

Vawtrak es capaz de manipular sesiones en los navegadores web

En lo referido a la variante de Nerverquest, hay que confirmar que posee muchas mejoras con respecto a la versión anterior, instalando en el navegador un complemento que permite conocer en qué momento se accede a páginas de banca en línea para realizar una modificación de la ruta de navegación del usuario en función del sitio web visitado, desviando esta hacia páginas web falsas donde el usuario introducirá los datos de acceso para posteriormente ser recopilados en un servidor propiedad de los ciberdelincuentes.

Sin embargo, tal y como ya hemos comentado, la presencia de este pasa por disponer de una herramienta de seguridad que detenga la instalación del primero, ya que Vawtrak actualmente no se está distribuyendo utilizando otras vías.

Fuente | Softpedia