Vadokrist es un troyano bancario desarrollado especialmente para infectar a brasileños y robar datos de cuentas bancarias. Aunque fue descubierto hace más de tres años, el malware sigue en plena marcha, cada vez más optimizado, actualizado y con nuevas funciones., lo que hace que los investigadores de seguridad lo consideren un malware actual.
Según ESET, que lo ha estado estudiando desde su primera aparición en 2018, Vadokrist comparte varios recursos con otros troyanos bancarios, especialmente aquellos desarrollados con un enfoque en la población de América Latina, como Amavaldo, Casbaneiro, Grandoreiro y Mekotio.
Según Daniel Cunha Barbosa, investigador de seguridad de la información de ESET en Brasil, Vadokrist fue identificado por primera vez hace unos tres años.. Pero, si bien es un malware antiguo, se actualiza constantemente.
“La mayoría de las amenazas utilizadas durante un período prolongado pasan por transformaciones y obtienen nuevas funciones, optimización del rendimiento, capas adicionales de ofuscación, etc. Esto hace que incluso las amenazas más antiguas se consideren actuales., pero no su código original, sino sus variantes ”, dice Daniel, en una entrevista con The Hack.
Amenaza Vadokrist
Según ESET, una de las principales características de Vadokrist es su “cantidad desproporcionada de código no utilizado”, Que, tras un análisis exhaustivo del código, se identificó como un estrategia para evitar ser detectado por aplicaciones antivirus o retrasar su análisis.
A diferencia de la mayoría de los troyanos bancarios, Vadokrist tiene un enfoque más minimalista. Solo recopila los datos necesarios, como el nombre de usuario de las víctimas, a diferencia de otros, que recopilan información como el nombre de la computadora, la versión del sistema operativo y otros. Además, Vadokrist solo recopila estos datos en el momento del ataque y no tan pronto como se instala.
Una vez que el malware infecta la máquina de la víctima, se instala una puerta trasera típica de un troyano bancario., y se prohíbe el acceso a algunos sitios, que pueden usarse como una herramienta de detección, ya que el malware cierra el navegador cuando la víctima intenta acceder a uno de los sitios prohibidos. Los investigadores creen que esta estrategia funciona como una protección, evitando que la víctima acceda a sus cuentas, manteniéndolas bajo el control del ciberdelincuente.
“Él es capaz de manipular el mouse, simular y grabar pulsaciones de teclas, tomar capturas de pantalla y reiniciar la máquina. Vadokrist también puede evitar el acceso a algunos sitios, lo que se hace de una manera muy incómoda, finalizando el proceso del navegador cuando la víctima intenta visitar esos sitios. Creemos que esta técnica se utiliza para evitar que las víctimas accedan a sus cuentas bancarias comprometidas, lo que significa que los atacantes pueden seguir teniendo control sobre cada uno de ellos ”, escriben.
Otra característica común de Vadokrist, en relación a sus “primos” Amavaldo y Casbaneiro, es el algoritmo de encriptación TripleKey, lo que los hace poco comunes entre el malware latino, que normalmente no usa algoritmos de encriptación conocidos.
Investigación
Daniel explica que el procedimiento adoptado por ESET para analizar el Vadokrist era el estándar de la empresa, que comienza con la recepción de información que puede provenir de los clientes, así como también puede llegar a través del software de inteligencia de la empresa. Posteriormente, comienza el proceso de análisis profundo de las características y comportamiento de la amenaza.
Este análisis inicial genera una gran cantidad de datos e información que es necesario organizar para obtener datos más específicos. Con los datos ya filtrados y pre-analizados, los investigadores comparan los códigos con los de otros malware de bases conocidas y producen los informes.
Sobre el descubrimiento de Vadokrist, Daniel explica que el sentimiento es de logro y logro. “Poder colaborar para hacer que nuestras soluciones y el mundo en su conjunto sean más seguros es algo en lo que creemos firmemente. Por ello, siempre estamos buscando nuevas y cada vez más eficientes formas de identificar, detectar y responder a las amenazas, para que podamos difundir estos buenos resultados a toda la comunidad de seguridad ”, concluye la investigadora.
See the original post at: https://thehack.com.br/assolando-brasileiros-desde-2018-trojan-bancario-vadokrist-evolui-e-preocupa-pesquisadores/?rand=48889
