Une nouvelle version de la fameuse Neverquest Troie, utilisée pour les informations financières vols, a été trouvé en Novembre. Il va par le nom de Vawtrack et se propage à travers plusieurs gouttes de logiciels malveillants, Zemot étant l'un d'entre eux. La version est connue pour être répartis principalement en Amérique du Nord, suivie par l'Europe et l'Asie. Zemot fait partie de la famille Upatre, souvent utilisé par le Asprox / Opérateurs de botnets Kuluoz pour filtrer de logiciels malveillants supplémentaires dans les ordinateurs déjà touchées.
Processus d'installation modification
Les experts en sécurité, partie de la menace et de l'intelligence du groupe de l'IBM Trusteer observé que la nouvelle version Neverquest Trojan dispose d'un processus d'installation modifié. La communication avec le contrôle et la commande (C&C) serveur est effectuée par le réseau de procuration Tor2Web. Connexions dans ce réseau sont cryptées et randomisés et ne peuvent être démantelés qui rend le Vawtrack Trojan presque impossible à suivre.
Dans un billet de blog sur le sujet ingénieur Trusteer Ilya Kolmanovich déclare: "... Neverquest infections sont pris en charge par plusieurs téléchargeurs, Zemot y compris, qui a été abandonnée par le Kuluoz campagne de courriels d'hameçonnage, et le téléchargeur Chaintor qui utilise Tor2web comme un proxy pour aller chercher sa charge utile, qui est hébergé sur le réseau Tor. Nous avons également remarqué que les drive-by exploitent kits soutenir la distribution de Neverquest ... ".
Le changement dans le processus d'infection se compose de deux parties - une charge utile de placer la DLL malveillant dans le dossier "% temp% de" de la machine et l'autre à partir de la “regsvr32.exe” de l'outil de ligne de commande. Une fois exécuté sur une machine le cheval de Troie se infiltre code malveillant et disparaît du système.
Contourner Logiciel Anti-Virus
La chose intéressante avec Vawtrack est qu'il utilise plusieurs astuces pour contourner les outils de détection de virus. L'un d'eux est d'avoir quelque chose appelé un “runkey récurrente” - Technique qui garantit l'entrée de la persistance du cheval de Troie dans le système même si elle a été enlevée par un logiciel antivirus. L'autre se appelle «chien de garde» et est utilisé comme une partie de son module de DLL, veiller à ce que l'élément essentiel du malware ne sera pas retiré de la machine.
La nouvelle version Neverquest a de nouvelles fonctionnalités comme la possibilité de prendre des screenshots et des vidéos des postes de travail des machines. Il dispose également d'un module "Pony" intégré, son objectif étant de voler certificats stockés sur les navigateurs, les serveurs de messagerie et FTP pouvoirs et les clés.
Il semble que la nouvelle version Neverquest contient une liste de plus de 300 cibles partout dans le monde, pas tous d'entre eux étant du secteur financier. Certains d'entre eux sont pour les jeux, les réseaux sociaux et les médias - ce qui est un signe clair que les escrocs sont escroquer tous les informations qui peuvent être utiles pour les moyens de voler.
→"Nous avons vu Neverquest évoluer et changer sa forme d'activité plusieurs fois dans l'année écoulée, et à chaque itération, la raison de ce changement est d'essayer de contourner les produits de sécurité. Les produits de sécurité qui mettent en œuvre une approche naïve sera contourné à chaque changement que Neverquest œuvre jusqu'à ce que la nouvelle modification est étudiée. Jusque-là, ces produits sont inefficaces. " , conclut l'ingénieur Trusteer Ilya Kolmanovich.