VADOKRIST: Malware bancario que apunta a entidades brasileñas


Vadokrist es un troyano bancario diseñado para robar credenciales bancarias de entidades brasileñas principalmente. Como tal, comparte algunas funcionalidades con otras familias como Grandoreiro o Mekoito, que también se dirigen especialmente a América Latina.

Introducción

Extendido nuestro foco hacia dicha zona, especialmente hacia México y Chile, encontramos que estos troyanos bancarios tienen algunas características en común, como el lenguaje con el que han sido programados, sus funcionalidades de backdoor o el hecho de dirigirse a países en los que se habla español o portugués.

vadokrist-malware-01

Fuente: VirusTotal. SHA256: 5876b241f601badc8e4cabda303b5b0be3116ceeeb92bbfb0ccb0424bf416990

Características

Escrito en Delphi, lenguaje popular entre el malware brasileño, contiene una gran cantidad de código binario que no es ejecutado ni invocado en ningún momento. Su finalidad, muy posiblemente, es disuadir su análisis, ralentizarlo o evadir su detección por parte de los motores de antivirus o del propio analista.

En cuanto a la recopilación de datos de la máquina víctima, Vadorkrist, a diferencia de otros troyanos bancarios latinoamericanos, únicamente toma el nombre de usuario de la víctima, y el robo de credenciales lo hace después de comenzar el ataque a la entidad bancaria que corresponda, en lugar de al momento de la instalación, que suele ser lo habitual en estos casos.

Continuando con sus capacidades de backdoor, son las típicas que podríamos esperar. Este troyano bancario es capaz de manipular el ratón, simular y registrar pulsaciones de teclado, tomar capturas de pantalla, impedir el acceso a determinados sitios web, e incluso reiniciar el equipo afectado.

vadokrist-malware-02

Fuente: VirusTotal. SHA256: 5876b241f601badc8e4cabda303b5b0be3116ceeeb92bbfb0ccb0424bf416990

En cuanto al almacenamiento de strings, en algunas versiones recientes se han hallado múltiples listas de strings, las cuales tienen diferentes propósitos. Entre ellas encontramos la configuración general, listas de entidades a atacar o nombres de comandos para la funcionalidad de backdoor.

Por último, cabe también destacar su método para mantener la persistencia. En este caso, utiliza una Run Key o bien un archivo LNK, que son archivos de acceso directo de Windows, el cual ubica en la carpeta de Inicio.

 

Distribución

Es habitual que su distribución se realice a través de correos de spam que adjuntan ficheros para acometer su propósito. De hecho, las campañas más recientes incluían dos archivos comprimidos anidados de extensión ZIP, que contenían un instalador MSI y un fichero .CAB.

Respecto a su funcionamiento básico, es el siguiente: cuando la víctima ejecuta el archivo MSI (Windows Installer), este localiza el archivo CAB y extrae un loader MSI al disco. Después de este paso, se ejecuta un archivo embebido de tipo JavaScript que se encargará de garantizar la persistencia agregando una entrada Run key, de modo que el loader MSI se ejecuta al iniciar de nuevo el sistema. Tras realizar esta configuración para lograr persistencia, el equipo se reinicia.

vadokrist-malware-03

Fuente: ESET. https://www.welivesecurity.com/la-es/2021/01/21/vadokrist-analisis-de-este-malware-bancario-que-apunta-a-brasil

Cuando la máquina vuelve a encenderse, el loader MSI ya está listo para ejecutar una DLL que incorpora, y que es precisamente el troyano bancario Vadokrist.

Este troyano y otros troyanos bancarios que afectan a entidades latinoamericanas, guardan similitudes en la implementación de la cadena de distribución, si bien hay ligeras diferencias.

Un método usado por estos y que resulta bastante común, es implementar la cadena de distribución en varias capas de downloaders, los cuales pueden estar escritos en diferentes lenguajes de scripting tales como JavaScript, como el caso de la versión de Vadokrist comentada anteriormente, PowerShell o incluso Visual Basic Script.

En este escenario, es habitual encontrar al menos tres capas. El payload final es a menudo facilitado en el zip que contiene. Si bien, para el troyano que nos ocupa, cabe comentar que no existe un downloader puesto que, como mencionamos anteriormente, en las versiones encontradas recientemente se distribuye directamente en los correos no deseados.

 

Conclusión

Vadokrist es un troyano bancario que afecta principalmente a entidades brasileñas, y que comparte varias características con troyanos bancarios latinoamericanos, como Grandoreiro, también conocido como Delephant, dirigido a Brasil, España, México y Perú, principalmente, y Mekotio o Pazera, troyanos que además de afectar a instituciones financieras de América Latina, están escritos en Delphi.

Respecto a las características propias de este troyano, llama especialmente la atención el hecho de que no recopila información de sus víctimas al instalarse en la máquina, tal como lo hace la gran mayoría de troyanos bancarios que afectan a entidades de América Latica, sino que lo hace justo después de iniciar su ataque a la entidad financiera.

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.

Como solucionamos la presencia de Malware

Protección y Alerta contra la presencia de Malware

bugFraud es la solución directa para detectar y frenar el malware conocido y zero-day. El exhaustivo sistema de buguroo para clasificar el malware elimina los falsos positivos y evita los falsos negativos

¿CÓMO LO RESUELVE BUGUROO?

Solicita una demo

¿Quieres ver cómo te protege nuestra solución?

Comprueba como puede ayudarte nuestra solución a resolver los problemas de fraude online de tu empresa, solicita gratuitamente una DEMO ahora y te explicamos en detalle.

Solicita una DEMO

¿Te ha gustado? Comparte en tus comunidades sociales.