.png)
Vawtrak, también conocido como NeverQuest o Snifula, es un troyano bancario que tiene una historia notable en la evolución del malware financiero. Descubierto inicialmente en 2013, Vawtrak se ha destacado por su sofisticación y eficacia al robar información financiera y credenciales de usuario.
1. Inicio y Evolución (2013-2014): Vawtrak comenzó a ganar notoriedad en 2013 como una variante de troyanos previos, particularmente derivado de Carberp, otro troyano bancario que ya había causado estragos. Los cibercriminales que desarrollaron Vawtrak reutilizaron y mejoraron partes del código de Carberp para crear una herramienta más robusta y flexible.
2. Expansión y Desarrollo (2014-2016): A medida que evolucionaba, Vawtrak comenzó a añadir funcionalidades más avanzadas, como la capacidad de ataques de inyección de web, keylogging (registro de teclas), y la grabación de pantallas. Los atacantes también utilizaron técnicas de ofuscación para dificultar su detección por parte de software antivirus. Durante este período, Vawtrak se distribuyó ampliamente en campañas de spam y correos electrónicos de phishing.
3. Aparición en Creadores de Kits (2016-2018): A mediados de esta década, Vawtrak se distribuyó a través de creadores de kits de exploits, como el Angler y el Neutrino Exploit Kit. Esto permitió a los cibercriminales infectar máquinas vulnerables automáticamente al inducir a las víctimas a visitar sitios web comprometidos.
Robo de Información Financiera: El objetivo principal de Vawtrak era capturar información bancaria de las víctimas. Lograba esto interceptando el tráfico web y alterando las páginas bancarias para capturar credenciales y otros datos sensibles.
Monitorización y Control Remoto: Además de robar datos, Vawtrak permitía a los atacantes obtener control remoto del sistema infectado, lo que les permitía llevar a cabo diversas acciones maliciosas sin el conocimiento del usuario.
Desactivación de Software de Seguridad: Vawtrak poseía la capacidad de desactivar software antivirus y otras medidas de seguridad, incrementando así su persistencia en el sistema infectado.
Phishing y Spam: Una de las principales formas de infección era a través de campañas de correo electrónico . Los correos contenían enlaces o archivos adjuntos maliciosos. Al clicar en los enlaces o abrir los archivos, el malware se descargaba y ejecutaba en el sistema de la víctima.
Kits de Exploits: Los kits de exploits son herramientas diseñadas para encontrar y explotar vulnerabilidades en software popular (como navegadores web y plugins). Vawtrak aprovechaba estos kits para instalarse en sistemas vulnerables automáticamente cuando las víctimas visitaban sitios web comprometidos.
Redes Bot:
Para contrarrestar la amenaza de Vawtrak, las estrategias de defensa incluyeron:
Actualización de Software: Mantener todos los programas y sistemas operativos actualizados para cerrar los agujeros de seguridad que explotaban los kits de exploits.
Educación sobre Phishing: Entender las tácticas de phishing y ser cautelosos con los correos electrónicos sospechosos, especialmente aquellos que contienen enlaces o archivos adjuntos no solicitados.
Software Antivirus: Utilizar soluciones antivirus que incorporen capacidades de detección heurística y de comportamiento para identificar y bloquear malware sofisticados como Vawtrak.
Monitoreo de Actividades Anómalas: Implementar sistemas de detección de intrusiones (IDS) y herramientas de monitoreo de redes para identificar comportamientos inusuales que podrían indicar una infección de Vawtrak.
Vawtrak representa un caso emblemático de cómo los troyanos bancarios han evolucionado en sofisticación y capacidad de evasión, reflejando el continuo "juego del gato y el ratón" entre los desarrolladores de malware y la industria de la ciberseguridad .