Eine neue Version des berüchtigten Neverquest Trojan, für Finanzinformationen Diebstähle verwendet, hat im November festgestellt,. Es hört auf den Namen des Vawtrack und wird sich über mehrere Malware-Dropper verbreiten, Zemot ist einer von ihnen. Die Version ist bekannt, vor allem in Nordamerika ausgebreitet werden, gefolgt von Europa und Asien. Zemot ist Teil der Familie Upatre, häufig durch die Asprox verwendet / Kuluoz Botnetz-Betreiber in zusätzliche bösartige Software in bereits betroffenen Computern zu filtern.
Modifizierte Installationsprozess
Sicherheitsexperten, Teil des IBM Trusteer Threat and Intelligence-Gruppe beobachtet, dass die neue Neverquest Trojan-Version hat eine modifizierte Installation. Die Kommunikation mit der Steuer- und Befehls (C&C) Server wird durch die Tor2Web Proxy-Netzwerk durchgeführt. Verbindungen in dieses Netzwerk werden verschlüsselt und randomisiert und kann nicht demontiert werden, welche die Vawtrack Trojan fast unmöglich, zu verfolgen macht.
In einem Blog-Post über das Thema Trusteer Ingenieur Ilya Kolmanovich Staaten: "... Neverquest Infektionen werden durch mehrere Downloader unterstützt, Inklusive Zemot, die von der Kuluoz Phishing-Mails Kampagne wurde fallengelassen, und die Chaintor Downloader, Tor2web als Proxy verwendet, um seine Nutzlast zu holen, die auf dem Tor-Netzwerk gehostet wird. Wir haben auch festgestellt, dass Drive-by-Exploit-Kits unterstützen die Verteilung von Neverquest ... ".
Die Änderung des Infektionsprozess besteht aus zwei Teilen - einer Platzierung der bösartige DLL Nutzlast in die "% temp%" -Ordner des Geräts und das andere beginnt die “regsvr32.exe” aus dem Befehlszeilentool. Einmal auf einer Maschine ausgeführt der Trojaner infiltriert bösartigen Code und nicht mehr auf dem System.
Umgehen Anti-Virus-Software
Die interessante Sache mit Vawtrack ist, dass es einige Tricks, um Virus-Erkennung Werkzeug umgehen. Einer von ihnen ist mit einem so genannten “wiederkehrende runkey” - Technik, des Trojaners Persistenz Eingabe in das System selbst dann, wenn sie von einem Antivirus-Software entfernt worden garantiert. Die andere wird als "Wachhund" und wird als ein Teil seiner DLL Modul, sicherzustellen, dass die entscheidende Komponente der Malware wird nicht aus der Maschine entfernt werden.
Die neue Version hat Neverquest neue Funktionen wie die Möglichkeit, Screenshots und Videos von der Maschinen-Desktops zu nehmen. Es hat auch ein "Pony" Modul integriert, deren Ziel die Zertifikate auf Browser gespeichert stehlen, E-Mail und FTP-Server Anmeldeinformationen und Schlüssel.
Es scheint das neueste Neverquest Version enthält eine Liste von mehr als 300 Ziele in der ganzen Welt, nicht alle von ihnen als von den Finanzsektor. Einige von ihnen sind für Spiele, soziale Netzwerke und Medien - dies ist ein klares Zeichen, dass die Gauner sind betrügen alle Informationen, die nützlich für Diebstahl Mittel sein kann.
→"Wir haben gesehen Neverquest entwickeln und ändern ihre Form der Tätigkeit mehrmals im vergangenen Jahr, und bei jeder Iteration, der Grund für die Änderung ist, zu versuchen, Security-Produkte zu umgehen. Sicherheitsprodukte, die Umsetzung ein naiver Ansatz wird mit jedem umgehen ändern Neverquest implementiert, bis die neue Modifikation untersucht. Bis dahin, diese Produkte sind unwirksam. " , Schluss Trusteer Ingenieur Ilya Kolmanovich.
