Vadokrist

América Latina siguió siendo el terreno preferido para el despliegue de troyanos bancarios. Una de esas amenazas que ha estado activa desde al menos 2018 y todavía está en desarrollo activo es Vadokrist. Los investigadores analizaron el código subyacente de Vadokrist y descubrieron que comparte múltiples características con varias otras familias de troyanos bancarios de la región, principalmente Mekotio, Casbaneiro, Grandoreiro y Amavaldo. Aún así, varias características distinguen a Vadokrist del resto.

El primer aspecto peculiar de la amenaza es la inclusión de una cantidad sustancial de código no utilizado dentro de los binarios. Lo más probable es que el objetivo aumente las posibilidades de que la amenaza evite ser detectada y, al mismo tiempo, extienda el tiempo necesario para un análisis adecuado del código. Las versiones anteriores de Vadokrist almacenaban cadenas dentro de una tabla de una sola cadena, de una manera similar a Casbaneiro, pero las variantes más recientes incluyen múltiples tablas de cadenas, cada una con un objetivo diferente.

La segunda gran desviación exhibida por Vadokrist está en su rutina de recolección de datos. La mayoría de los troyanos bancarios latinoamericanos recopilan información diversa sobre sus víctimas, como los nombres de las computadoras y las versiones del sistema operativo Windows cuando se ejecutan por primera vez. Vadokrist no solo recopila un subconjunto más pequeño de datos; recopila solo el nombre de usuario de la víctima, pero lo hace en el momento en que se inicia un ataque contra una institución financiera.

Las capacidades de puerta trasera de Vadokrist son parte del curso. La amenaza puede manipular el mouse y simular la entrada del teclado, establecer una rutina de keylogger, tomar capturas de pantalla arbitrarias y reiniciar el sistema infectado. También está equipado con una forma bastante dura de evitar que los usuarios accedan a ciertos sitios web al eliminar directamente el proceso del navegador web. El mecanismo de persistencia de la amenaza incluye la generación de una clave Ejecutar o un archivo LNK que se libera en la carpeta de inicio.

Vector de ataque

Vadokrist se está propagando a través de una campaña de correo electrónico no deseado. Las víctimas son atacadas con correos electrónicos de cebo que contienen dos archivos adjuntos corruptos: archivos ZIP con un instalador MSI y un archivo CAB. La cadena de ataque omite la fase de descarga y los correos electrónicos envían Vadokrist directamente.

Cuando el usuario ejecuta el instalador MSI, busca el archivo CAB y extrae su contenido en el disco. Luego procede a ejecutar e incrustar un archivo JavaScript que estableció el mecanismo de persistencia. El script reinicia el sistema comprometido y, en carga, pasa a ejecutar el malware Vadokrist.

El archivo JavaScript utiliza un método de ofuscación novedoso: abusa de la forma en que el operador de coma trabaja en JavaScript para reducir la legibilidad y evitar la emulación de manera significativa. Las operaciones que utilizan el operador lógico AND se confunden con una técnica similar.