El desarrollador Jakub Kroustek ha encontrado nuevas características en el peligroso malware Vawtrak, éstas permiten enviar y recibir datos a través de favicons cifrados distribuidos por la red Tor.

AVG revela las características en un informe [PDF] sobre el malware que se considera una de las peores amenazas individuales en existencia. Vawtrak utiliza el proxy Tor2Web para recibir actualizaciones de sus desarrolladores criminales.

"Es de particular interés desde el punto de vista de seguridad, que mediante el uso del proxy Tor2web se puede acceder a los servidores de actualización que se alojan en los servicios ocultos de Tor sin necesidad de instalar un software especializado como Torbrowser", dice Kroustek. "Por otra parte, la comunicación con el servidor remoto se realiza a través de SSL, lo que añade aún más cifrado."

Kroustek dice de la última muestra de Vawtrak utiliza esteganografía para ocultar archivos de actualización dentro de favicons, las pequeñas imágenes que se utilizan para dar color a los marcadores de sitios web y las pestañas del navegador, un truco que ayuda a ocultar las descargas maliciosas.

Vawktrak está infectando a la banca, juegos y a usuarios de redes sociales, principalmente a través del Reino Unido, los Estados Unidos y Alemania. Usuarios en Australia, Nueva Zelanda y en toda Europa también se ven afectados aunque en menor medida.

Se dice que es capaz de evadir plataformas antivirus, incluso AVG, mediante el uso de políticas de restricción de software, una hazaña que se reveló por primera vez en el análisis de noviembre por la empresa Sophos.

Dicha firma británica de antivirus, en su propio informe [PDF] sobre el ataque, detalló las características del robo de contraseñas en el navegador, las cuales se siguen utilizando en la última iteración. La infección se produce a través de vectores, incluyendo el Pony loader y el  Angler exploit kit.

El consuelo para los afectados, dice Kroustek, es que el malware es tan agresivo en comparación con otros que puede desestabilizar los sistemas infectados, por lo que es más fácil de detectar.

Kroustek recomienda que los usuarios implementen la seguridad debida, se mantengan alejados de las estafas de phishing y ejecuten su antivirus, tal como es de esperarse.