Comentario de Sophos sobre el virus que ataca a los bancos, Vawtrak

Fecha: Vie, 08/07/2016 - 11:11 Fuente: Sophos

Sophos, líder global en seguridad para protección de redes y endpoints, ha detectado gracias a sus SophosLabs el impulso de Vawtrak, un potente malware bancario que ahora ha sido actualizado con nuevos objetivos e innovaciones

Comentario de Sophos sobre el virus que ataca a los bancos, Vawtrak

En la imagen, stand de Sophos en InfoSecurity Europe 2016

FOTO / telecomkh.com

Pablo Teijeira, director general de Sophos Iberia comenta al respecto: "Una nueva versión de un malware bancario fraudulento ha sido responsable de una serie de ciberataques a diferentes instituciones financieras en numerosos países de todo el mundo durante el último año, y desde Sophos se quiere informar de un nuevo trabajo de investigación.
Vawtrak (también conocido como NeverQuest y Snifula) existe desde hace unos cuantos años, sin embargo, sigue creciendo como un kit ‘crimeware-as-a-service’ que está siendo utilizado por diversos grupos de cibercriminales.
El análisis realizado por Sophos de lo que estamos llamando simplemente la versión 2 de Vawtrak, muestra que los autores del malware han introducido innovaciones a la vez que realizan actualizaciones frecuentes para satisfacer la demanda, manteniéndose así por delante de posibles defensas.
SophosLabs ha observado que esta versión 2 se propaga mediante emails falsos que se hacen pasar por notificaciones de entrega; y Vawtrak se introduce en los ordenadores ya infectados por el malware Pony.
Desde nuestra última investigación sobre Vawtrak, nuevos bancos y países han sido objeto de este tipo de malware, con diferentes campañas que han tenido lugar en países como los Estados Unidos, Canadá, Reino Unido, Japón e Israel, siendo EE.UU. el mayor objetivo.
En nuestro análisis de Vawtrak previo, Alemania y Polonia fueron los principales objetivos, pero no se ha observado una actividad significativa en estos países respecto a esta nueva versión 2.
Este cambio de orientación geográfica podría indicar que los clientes de crimeware de Vawtrak ya no están interesados en estos países, pero también es posible que SophosLabs no haya visto archivos de configuración para aquellos países que faltan debido a los controles del servidor, tales como una consulta Geo IP de la  dirección IP de la víctima."

Innovaciones en la version 2 de Vawtrak
Los desarrolladores de Vawtrak han invertido importantes esfuerzos para mejorar el malware en la versión 2, complicando la vida a las defensas y tratando de frustrar a los investigadores de ciberseguridad.
Según SophosLabs, la versión 2 de Vawtrak incluye algunos cambios que rompen con las herramientas existentes utilizadas para analizar el malware:
"Estos cambios implican un incremento en los niveles de confusión y cambios en el cifrado utilizado. (...) La motivación para el cambio parece ser un intento de romper temporalmente con las herramientas ya existentes que puedan implementar los algoritmos utilizados en anteriores muestras de Vawtrak".
SophosLabs también ha desvelado que los autores han hecho esta versión 2 de Vawtrak más efectiva con una menor huella en la carga inicial utilizada para la infección. Esta versión más efectiva de Vawtrak podría permitir a los autores introducir funciones avanzadas para añadirlas y desplegarlas en forma de módulos para seleccionar a las víctimas, según SophosLabs.

 

valorar este articulo:
Su voto: Nada

Enviar un comentario nuevo

Datos Comentario
El contenido de este campo se mantiene como privado y no se muestra públicamente.
Datos Comentario
Datos Comentario
Enviar