Según los investigadores de seguridad los piratas informáticos responsables de Vawtrak han movido todos los servidores de control de este malware hacia la red Tor y han dotado a la herramienta de una serie de conexiones hacia Tor2Web desde donde establecer de forma oculta y cifrada la conexión con éstos.
Detalles de la operativa del troyano
- Vawtrak es un troyano que roba contraseñas por todo el mundo llegando a causar problemas incluso a grandes multinacionales. En los orígenes del malware su funcionamiento se limita sólo al robo de contraseñas, sin embargo, con el paso del tiempo se ha ido mejorando el software y se le han añadido nuevas y preocupantes funcionalidades hasta convertirlo en un troyano de lo más completo.
- A diferencia de otros piratas informáticos que configuran sus troyanos y demás malware directamente para que se conecten a través de la red Tor a sus servidores de control, este aún establece conexiones HTTP hacia Tor2Web para, desde allí, establecer una conexión hacia los servidores de control de este. Esta forma de establecer conexiones es poco segura ya que en un análisis de paquetes se podría ver que se intentan establecer conexiones con esta plataforma, sin embargo, como la mayor parte del público general de este malware son usuarios domésticos no hay problema con esto.
- Al analizar el profundidad el código del troyano se puede ver cómo se le ha añadido un algoritmo de generación de dominios .onion (DGA). En la red Tor los dominios se generan a partir de hashes generados sobre la base de la clave pública del servicio oculto, por lo que lo más probable es que esa función a nivel interno sólo se utilice para generar dominios ya conocidos y registrados por los piratas informáticos, evitando que estos puedan ser registrados por otros usuarios de la Deep Web.
CONCLUSION
- Los responsables de Vawtrak están cambiando muchos aspectos de su herramienta maliciosa y hasta es posible que cuando asienten todos los cambios y todo funcione correctamente se lleve a cabo una nueva campaña de distribución de este software malicioso a través de las redes sociales y el correo electrónico, por lo tanto y como siempre sigo siendo recomendable tener un software antivirus instalado y actualizado.
