Una nuova versione del famigerato Neverquest Trojan, utilizzati per furti di informazioni finanziarie, è stato trovato nel mese di novembre. Si va sotto il nome di Vawtrack e viene sparso attraverso diversi contagocce di malware, Zemot essere uno di loro. La versione è noto per essere sparsi soprattutto in Nord America, seguita da Europa e Asia. Zemot è parte della famiglia Upatre, spesso utilizzato dal Asprox / Operatori botnet Kuluoz per filtrare in ulteriore software dannoso nei computer già interessati.
Modificato Processo di installazione
Gli esperti di sicurezza, parte di Threat and Intelligence gruppo di IBM Trusteer osservato che la nuova versione Neverquest Trojan ha un processo di installazione modificata. La comunicazione con il controllo e il comando (C&C) server viene condotta attraverso la rete di proxy Tor2web. Connessioni in questa rete sono criptati e randomizzati e non possono essere smontati che rende il Vawtrack Trojan quasi impossibile per tenere traccia.
In un post sul blog l'ingegnere Trusteer soggetto Ilya Kolmanovich afferma: "... Le infezioni Neverquest sono supportati da più downloaders, Compreso Zemot, che è stato abbandonato dalla campagna email di phishing Kuluoz, e il downloader Chaintor che utilizza Tor2web come proxy per andare a prendere il suo carico, che è ospitato nella rete Tor. Abbiamo anche notato che drive-by sfruttano kit supportano la distribuzione di Neverquest ... ".
La variazione del processo di infezione consiste di due parti - uno posizionando il DLL payload dannoso nella cartella "% temp%" della macchina e l'altra iniziare la “regsvr32.exe” dallo strumento da riga di comando. Una volta eseguito su una macchina, il Trojan si infiltra codice dannoso e scompare dal sistema.
Bypassare Anti-Virus Software
La cosa interessante con Vawtrack è che utilizza alcuni trucchi per aggirare gli strumenti di rilevamento virus. Uno di loro è che hanno una cosa chiamata “runkey ricorrenti” - Tecnica che garantisce l'ingresso di persistenza del Trojan nel sistema, anche se è stato eliminato da un software antivirus. L'altro è chiamato "cane da guardia" e viene utilizzato come una parte del suo modulo DLL, assicurandosi che il componente fondamentale del malware non verrà rimosso dalla macchina.
La nuova versione Neverquest ha nuove caratteristiche come la possibilità di prendere screenshot e video di desktop delle macchine. Essa ha anche un modulo "Pony" integrata, il suo scopo è quello di rubare i certificati memorizzati sul browser, server e-mail e FTP credenziali e chiavi.
Sembra che la nuova versione Neverquest contiene una lista di più di 300 bersagli in tutto il mondo, non tutti essere dal settore finanziario. Alcuni di loro sono per giochi, social network e dei media - essendo questo un chiaro segno che i truffatori sono scamming ogni informazioni che possono essere utili per il furto di mezzi.
→"Abbiamo visto Neverquest evolvere e cambiare la sua forma di attività diverse volte l'anno scorso, e con ogni iterazione, il motivo del cambiamento è quello di cercare di aggirare i prodotti di sicurezza. I prodotti di sicurezza che implementano un approccio ingenuo verrà bypassato con ogni cambio che Neverquest implementa fino alla nuova modifica è studiato. Fino ad allora, questi prodotti sono inefficaci. " , conclude ingegnere Trusteer Ilya Kolmanovich.