En ny version af den berygtede Neverquest Trojan, bruges til finansielle oplysninger tyverier, er fundet i november. Det går under navnet Vawtrack og bliver spredt ud gennem flere malware pipetter, Zemot er en af dem. Den version er kendt for at blive spredt ud hovedsagelig i Nordamerika, fulgt af Europa og Asien. Zemot er en del af Upatre familien, ofte anvendes af Asprox / Kuluoz botnet operatører at filtrere i yderligere skadelig software i allerede berørte computere.
Modificeret installationsprocessen
Sikkerhedseksperter, en del af IBM Trusteer trussel og Intelligence Group bemærkede, at den nye Neverquest Trojan version har en modificeret installationsproces. Kommunikationen med kontrol og kommando (C&C) server foregår via Tor2Web proxy netværk. Forbindelser til dette netværk er krypteret og randomiseret og kan ikke skilles ad, hvilket gør Vawtrack Trojan næsten umuligt at spore.
I et blogindlæg om emnet Trusteer ingeniør Ilya Kolmanovich hedder: "... Neverquest infektioner er understøttet af flere downloaders, Herunder Zemot, der blev droppet af Kuluoz phishing emails kampagne, og Chaintor Downloader, der bruger Tor2web som en proxy for at hente sin nyttelast, som er hostet på Tor-netværket. Vi bemærkede også, at drive-by udnytte kits understøtter fordelingen af Neverquest ... ".
Ændringen i infektionen processen består af to dele - en placere ondsindet DLL nyttelast i mappen på maskinen "% temp%" og den anden starter “Regsvr32.exe” fra kommando-linje værktøj. Når henrettet på en maskine den trojanske infiltrerer skadelig kode og forsvinder fra systemet.
Omgåelse antivirussoftware
Det interessante ting med Vawtrack er, at den bruger flere tricks til at omgå virus-detektion værktøjer. En af dem er at have noget, der hedder en “tilbagevendende runkey” - Teknik, der garanterer den trojanske vedholdenhed indgang i systemet, selv om den er blevet fjernet ved en antivirus-software. Den anden hedder "vagthund", og bliver brugt som en del af sin DLL-modul, sikre, at vigtig del af malware ikke vil blive fjernet fra maskinen.
Den nye Neverquest version har nye funktioner som at kunne tage screenshots og videoer over maskinens desktops. Det har også en "Pony" modul integreret, dens formål at stjæle certifikater gemt på browsere, e-mail og FTP-servere legitimationsoplysninger og nøgler.
Det ser ud til den nyeste Neverquest versionen indeholder en liste over mere end 300 mål over hele verden, ikke alle af dem er fra den finansielle sektor. Nogle af dem er til spil, sociale netværk og medier - dette er et klart tegn på, at svindlere er snydere hver oplysninger, der kan være nyttige for at stjæle midler.
→"Vi har set Neverquest udvikle sig og ændre sin form for aktivitet flere gange i det forløbne år, og med hver iteration, årsagen til ændringen er at forsøge at omgå sikkerhed produkter. Sikkerhed produkter, der gennemfører en naiv tilgang vil blive omgået med hver ændring, at Neverquest gennemfører indtil den nye ændring studeres. Indtil da, disse produkter er ineffektive. " , konkluderer Trusteer ingeniør Ilya Kolmanovich.