Todo es cuestión de probar suerte, o al menos eso han debido pensar los propietarios de este troyano bancario que tras meses de inactividad se han aventurado con la segunda versión de su amenaza. Vawtrack ha comenzado a distribuirse haciendo uso de correos electrónicos y páginas de Internet manteniendo la misma finalidad que la primera versión.
Conocido también como Snifula o NeverQuest, llegó a ser uno de los troyanos bancarios más populares durante la primera mitad del pasado año. Desde entonces su presencia se ha visto reducida a prácticamente cero, provocando que muchos expertos en seguridad creyesen que el proyecto había caído en el olvido, algo que no es así y una prueba de ello es esta segunda versión. Lo que sí conviene mencionar en primer lugar es que por el momento la distribución de esta amenaza se está llevando a cabo en países en los que la primera versión no se había distribuido, entre ellos el nuestro. Esto quiere decir que la primera selección es probable que no funciona del todo bien y los propietarios hayan optado por modificar el listado de países en los que se llevará a cabo durante las próximas semanas su distribución.
Para no faltar tampoco a la tradición, los ciberdelincuentes se están ayudando sobre todo de correos electrónicos spam que poseen un archivo adjunto, concretamente un documento de Microsoft Word. Se utiliza el cuerpo del mensaje para hacer creer al usuario que existe una entrega pendiente de una tienda en línea, animando a consultar este documento para obtener más información.
Sin decir nada más, seguro que la mayoría ya sabe cuál va a ser el método a utilizar a continuación.
Se ayudan de macros para descargar el instalador de Vawtrack
Tal y como acostumbran a realizar, los ciberdelincuentes recurren a macros para realizar la descarga del instalador de la amenaza. Sin embargo, las macros en un principio están desactivadas, por lo que en el propio documento el usuario puede leer un texto a modo de anuncios en el que se recomienda la activación de las mismas para visualizar el contenido de forma correcta. Esto es un error ya que permitirá la descarga del contenido de forma no autorizada.
Ofuscación de código para hacer frente a las herramientas de seguridad
Entrando en detalles más técnicos, el desarrollo de este se ha realizado de forma modular, permitiendo obtener nuevas funciones gracias a las comunicaciones que se mantienen con un servidor de control de forma periódica. También hay que decir que para poner una mayor dificultad a las herramientas de seguridad, se utiliza la ofuscación de código acompañada de varios cifrados, provocando que el estudio de su comportamiento sea aún casi una quimera.
El lanzamiento de esta versión sirve para constatar que el proyecto no está muerto y que los ciberdelincuentes siguen adelante con esta botnet que se daba por cerrada hace unas semanas.
Fuente | Softpedia