1 2 3 4 5 6

Troyano bancario Vawtrak agrega DGA y SSL Pinning

Threat Post 17-Ago-2016

Los atacantes detrás del troyano bancario Vawtrak han estado actualizando el programa malicioso en las últimas semanas con un nuevo algoritmo de generación de dominio (DGA) y capacidades de fijado SSL (SSL Pinning).

La investigación publicada por la firma de seguridad Fidelis explica las actualizaciones y analiza cómo el DGA de Vawtrak genera dominios, se conecta a ellos y valida sus certificados. Los investigadores analizaron dos muestras que observaron el 28 de julio y el 1 de agosto.

La última versión de Vawtrak cuenta con dos estaciones de comando y control. El sitio que aloja el DGA sirve una lista de dominios que son reciclados a través del servidor de comando y control, mientras que el primer dominio activo devuelve otra lista estática.

"Para complicar aún más esta nueva transición entre C2, los desarrolladores han añadido otra sección, que, al ser decodificados, tendrá una lista de los dominios C2 que el bot también utilizará para las comunicaciones C2", dice el informe escrito por Fidelis Jason Reeves.

Los investigadores en conjunto con PhishLabs también descubrieron a finales de julio que el malware utilizaba un DGA para identificar su servidor de comando y control. La investigación de Fidelis toma la investigación un paso más allá y describe la forma en que fueron capaces de alterar el diseño del algoritmo.

Además de la DGA, el troyano también ha adoptado la comprobación de certificados SSL, o el pinning, algo que permite que el software malicioso para evitar posibles situaciones de SSL hombre en el medio, según la firma. El fijado SSL suele añadir un paso adicional para la validación de certificados para garantizar una conexión es digno de confianza.

Los investigadores afirman que la última DLL (Dynamic-Link Library) de Vawtrak tiene código para configurar una conexión HTTPS, probablemente para proteger sus comunicaciones con la estación de comando y control. Además de eso, el troyano también puede comprobar el certificado que recibe del servidor de comando y control. Según el informe de Fidelis:

Se suman todos los caracteres del nombre común (CN) y luego se divide por el byte 0x1a y suma 0x61, que debe coincidir con el primer carácter. También utiliza una clave pública de la cabecera de inyección inicial antes mencionada para verificar el hash de la firma que se aprobó en el campo SubjectKeyIdentifier del certificado.

Modi dijo que la mayoría de los troyanos han sido distribuidos a través de mensajes de spam maliciosos, pero afirma también han sido distribuidos a través de paquetes de exploits.

Fuente: Threat Post JO

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT