Una nueva versión de la famosa Neverquest Troya, utilizado para los robos de información financiera, se ha encontrado en noviembre. Se conoce por el nombre de Vawtrack y está siendo difundido a través de varios goteros de malware, Zemot es uno de ellos. La versión se conoce para ser extendido a cabo principalmente en América del Norte, seguida de Europa y Asia. Zemot es parte de la familia Upatre, a menudo utilizado por el Asprox / Operadores de botnets Kuluoz para filtrar software malicioso adicional en las computadoras que ya están afectados.
Proceso de instalación Modificado
Los expertos en seguridad, parte de la amenaza y la inteligencia del grupo de la IBM Trusteer observado que la nueva versión Neverquest troyano cuenta con un proceso de instalación modificada. La comunicación con el control y mando (C&C) servidor se realiza a través de la red de proxy Tor2Web. Conexiones en esta red se cifran y se asignaron al azar y no pueden ser desmontados que hace que el Vawtrack Trojan casi imposible rastrear.
En una entrada de blog sobre el tema Trusteer ingeniero Ilya Kolmanovich afirma: "... Las infecciones Neverquest son apoyados por varios descargadores, Zemot Incluyendo, que fue abandonado por la campaña de correos electrónicos de phishing Kuluoz, y el programa de descarga Chaintor que utiliza Tor2web como proxy para ir a buscar su carga útil, que está alojado en la red Tor. También notamos que drive-by explotan kits apoyan la distribución de Neverquest ... ".
El cambio en el proceso de infección consta de dos partes - una colocación de la carga útil DLL malicioso en la carpeta "% temp%" de la máquina y el otro a partir de la “regsvr32.exe” de la herramienta de línea de comandos. Una vez ejecutado en un equipo el troyano se infiltra código malicioso y desaparece del sistema.
Sin pasar por software antivirus
Lo interesante con Vawtrack es que utiliza varios trucos para eludir herramientas virus detectar. Uno de ellos es haber algo llamado “runkey recurrente” - Técnica que garantiza la entrada persistencia del troyano en el sistema, incluso si ha sido eliminado por un software antivirus. El otro se llama "perro guardián" y está siendo utilizado como una parte de su módulo de DLL, asegurar que el componente vital de la malware no se retira de la máquina.
La nueva versión Neverquest tiene nuevas características como la de ser capaz de tomar imágenes y vídeos de los escritorios de las máquinas. También cuenta con un módulo de "Pony" integrado, su objetivo es robar los certificados almacenados en los navegadores, servidores de correo electrónico y FTP credenciales y claves.
Parece la más nueva versión Neverquest contiene una lista de más de 300 objetivos de todo el mundo, no siendo todos ellos del sector financiero. Algunos de ellos son para los juegos, las redes sociales y los medios de comunicación - que esto sea una señal clara de que los ladrones están estafando a todos la información que puede ser útil para los medios de robar.
→"Hemos visto Neverquest evolucionar y cambiar su forma de actividad varias veces en el pasado año, y con cada iteración, la razón del cambio es tratar de evitar los productos de seguridad. Los productos de seguridad que implementan un enfoque ingenuo se pasará por alto con cada cambio que Neverquest implementa hasta que se estudió la nueva modificación. Hasta entonces, estos productos son ineficaces ". , concluye ingeniero Trusteer Ilya Kolmanovich.