Investigadores de PhishLabs y Fidelis han estado trabajando sobre el troyano bancario Vawtrak y sus más recientes modificaciones, un buen ejemplo de algunas de las características, como DGA y SSL Pinning que está adoptando el malware para proteger sus botnets de la cada vez mayor presión contra ellas.
La carrera armamentística entre los creadores de malware y las diferentes aplicaciones antivirus/malware sigue imparable. El aumento de ingresos de diversos grupos de ciberdelincuentes, en parte gracias al auge del ransomware se traduce en un aumento de los recursos dedicados a la mejora de sus ciber armas. Recientemente encontramos un reporte que nos puede servir como claro ejemplo de estos movimientos, se trata del troyano bancario Vawtrak.
Investigadores de la empresa Fidelis han detectado una importante actualización en cuanto a capacidades de este malware. Sus creadores han integrado en el troyano un par de tecnologías que dificultan en gran medida la lucha contra estos malware, el DGA que es bastante común entre diversos tipos de malware y un no tan común SSL pinning.
Domain Generation Algorithm (DGA)
En primer lugar tenemos el algoritmo DGA. Estos algoritmos se utilizan en diversos malware para generar automaticamente una gran cantidad de nombres de dominio que pueden ser utilizados por los ciberdelincuentes como puntos de comunicación con su malware. Botnets que carecen de esta capacidad dependen de un listado estático de C&C a los que conectar, en caso de ser intervenidos y de obtenerse este listado se puede neutralizar cualquier comunicación con estos nodos dejándolos en estado latente.
Con DGA, el malware es capaz de generar miles de nombres de dominio diariamente y tratar de conectar a unos cuantos de ellos por dia para recibir actualizaciones o comandos. Esto hace tremendamente dificil acabar con una botnet. Por ejemplo el gusano conficker.c puede generar cerca de 50.000 nombres de dominios por día y tratar de contactar a 500, esto supondría que se habrían de registrar estos 50.000 nombres de dominio para evitar efectivamente cualquier actualización....
SSL Pinning
Mediante SSL Pinning, los nodos del malware asocian un host o en este caso los C&C con un certificado o clave pública y de esta manera añaden una nueva capa de seguridad ante posibles ataques man-in-the-middle ya que se comprueba con otro paso adicional la validez del certificado para verificar que la conexión es confiable.
Como decíamos antes, una de las principales fuentes de ingresos que permiten a estos grupos de cibercriminales sigue siendo los “rescates” pagados por infecciones de ransomware. Desde Cyberseguridad.net queremos remarcar de nuevo la importancia de tomar medidas, como la política de copias 3-2-1 para que una infección de ransomware no pase de ser un incordio.
Fuente Phishlabs / Threatgeek
