El Vawtrak (aka Snifula) ha existido desde mediados del 2013. Sus capacidades de robar información, de puerta trasera (backdoor) y espionaje merecidamente le valieron la descripción de la "navaja suiza" de malware.
Desde su creación, los autores han ido retocándolo constantemente, cambiando las características, las regiones de destino o bancos. Corre a través de paquetes de exploits, descargadores de malware y a través de descargas no autorizadas, es muy probable que en un momento u otros muchos usuarios se hayan topado con él.
El mes pasado, en febrero, por ejemplo, los investigadores han descubierto en varias ocasiones que se entrega a través de macros maliciosos.
El desarrollador de AVG Jakub Kroustek ha escrito recientemente un ensayo analizando la amenaza y las últimas mejoras que recibió. Entre ellas se encuentra una forma mejorada de recibir listas actualizadas de C&C (Los servidores hacia donde se comunica el malware) vivos:
Su naturaleza hace que no parezcan sospechosa, mientras que su pequeño tamaño (alrededor de 4 kB) es todavía suficiente para llevar a un (cifrado) archivo de actualización escondido dentro.
"La forma más eficaz de evitar la infección por Vawtrak es permanecer alertas sobre phishing y estafas en línea. Sin embargo, Vawtrak todavía puede encontrar su camino a través de otros vectores de infección, incluso sin la interacción directa del usuario. Por lo tanto, tener una solución antivirus eficaz y actualizada es obligatorio", dice Kroustek, a pesar del hecho de que este trata de desactivar cualquier software antivirus corriendo que encuentra en el equipo de destino (la lista es considerable):
Como pueden ver, no es cualquier cosa, como siempre la recomendación, no abran correos no solicitados y naveguen seguro.
Cortesia: PCRisk
Desde su creación, los autores han ido retocándolo constantemente, cambiando las características, las regiones de destino o bancos. Corre a través de paquetes de exploits, descargadores de malware y a través de descargas no autorizadas, es muy probable que en un momento u otros muchos usuarios se hayan topado con él.
El mes pasado, en febrero, por ejemplo, los investigadores han descubierto en varias ocasiones que se entrega a través de macros maliciosos.
El desarrollador de AVG Jakub Kroustek ha escrito recientemente un ensayo analizando la amenaza y las últimas mejoras que recibió. Entre ellas se encuentra una forma mejorada de recibir listas actualizadas de C&C (Los servidores hacia donde se comunica el malware) vivos:
"Los servidores de actualización [del malware] están alojados en la web oculta Tor y se accede a ellos a través de un proxy Tor2web20 sin necesidad de instalar ningún software especial, como Torbrowser. Por otra parte, la comunicación con el servidor remoto se realiza a través de SSL, que suma un cifrado más ".
"La lista de servidores puede ser actualizada con un archivo obtenido de aquellos C&C. Los autores de Vawtrak hicieron la detección de dicha comunicación con sus servidores más difícil comunicándose únicamente mientras el usuario navega por Internet (es decir, mientras un navegador produce tráfico de red). Por otra parte, Vawtrak utiliza esteganografía para ocultar esas listas de actualización dentro de los favicons en los servidores de actualización ".Para aquellos que no saben, favicons - también conocidos como iconos de sitio Web e iconos de marcadores - son archivos que contienen uno o más pequeños iconos asociados con un sitio web en particular.
Su naturaleza hace que no parezcan sospechosa, mientras que su pequeño tamaño (alrededor de 4 kB) es todavía suficiente para llevar a un (cifrado) archivo de actualización escondido dentro.
"La forma más eficaz de evitar la infección por Vawtrak es permanecer alertas sobre phishing y estafas en línea. Sin embargo, Vawtrak todavía puede encontrar su camino a través de otros vectores de infección, incluso sin la interacción directa del usuario. Por lo tanto, tener una solución antivirus eficaz y actualizada es obligatorio", dice Kroustek, a pesar del hecho de que este trata de desactivar cualquier software antivirus corriendo que encuentra en el equipo de destino (la lista es considerable):
Como pueden ver, no es cualquier cosa, como siempre la recomendación, no abran correos no solicitados y naveguen seguro.
