Een nieuwe versie van de beruchte Neverquest Trojan, gebruikt voor financiële informatie diefstallen, gevonden in november. Het gaat door de naam van Vawtrack en wordt verspreid via verschillende malware druppeltellers, Zemot is een van hen. De versie is bekend dat verspreid voornamelijk in Noord Amerika, gevolgd door Europa en Azië. Zemot maakt deel uit van de familie Upatre, vaak door de ASPROX / Kuluoz botnet exploitanten om te filteren op aanvullende kwaadaardige software in de reeds getroffen computers.
Gewijzigd Installatieproces
Beveiligingsexperts, onderdeel van de IBM Trusteer Threat en Intelligence Group opgemerkt dat de nieuwe Neverquest Trojan versie heeft een aangepaste installatie proces. De communicatie met de controle en commando (C&C) server wordt uitgevoerd door middel van het Tor2Web proxy netwerk. Verbindingen in dit netwerk worden versleuteld en gerandomiseerde en kunnen niet worden ontmanteld, die de Vawtrack Trojan bijna onmogelijk op te sporen maakt.
In een blogpost over het onderwerp Trusteer ingenieur zegt Ilya Kolmanovich: "... Neverquest infecties worden ondersteund door meerdere downloaders, Waaronder Zemot, die werd gedropt door de Kuluoz phishing e-mails campagne, en de Chaintor downloader die Tor2web gebruikt als een proxy om zijn lading te halen, die op het Tor netwerk wordt gehost. We hebben ook gemerkt dat de drive-by exploit kits ondersteunen de distributie van Neverquest ... ".
De verandering in het infectieproces bestaat uit twee delen - een plaatsing kwaadaardige DLL lading in de "% temp%" map van de machine en de andere starten “regsvr32.exe” vanaf de command-line tool. Eenmaal uitgevoerd op een computer van de Trojaanse infiltreert kwaadaardige code en verdwijnt uit het systeem.
Omzeilen van Anti-Virus Software
Het interessante ding met Vawtrack is dat het gebruik maakt van een aantal trucs om-virus detecteren gereedschappen omzeilen. Een van hen is die een zogenaamde “terugkerende runkey” - Techniek die de Trojan persistentie toegang tot het systeem, zelfs als deze is verwijderd door een antivirus-software garandeert. De andere heet "waakhond" en wordt gebruikt als een onderdeel van de DLL module, zorgen dat de essentiële component van de malware niet uit de machine worden verwijderd.
De nieuwe Neverquest versie heeft nieuwe functies, zoals de mogelijkheid om screenshots en video's van desktops de machines 'te nemen. Het heeft ook een "pony" module geïntegreerd, haar doel is om certificaten die zijn opgeslagen op browsers te stelen, e-mail en FTP-servers geloofsbrieven en sleutels.
Het lijkt erop dat de nieuwste Neverquest versie bevat een lijst van meer dan 300 doelen over de hele wereld, niet alle van hen zijn uit de financiële sector. Sommigen van hen zijn voor games, sociale netwerken en media - dit is een duidelijk teken dat de boeven worden scammen elke informatie die nuttig is voor het stelen van middelen kan worden.
→"We hebben Neverquest zien evolueren en veranderen de vorm van activiteit meerdere malen in het afgelopen jaar, en bij elke iteratie, de reden voor de wijziging is proberen beveiligingsproducten omzeilen. Beveiligingsproducten die de uitvoering van een naïeve aanpak zal worden omzeild bij elke verandering in brengen Neverquest implementeert totdat de nieuwe modificatie wordt bestudeerd. Tot die tijd, deze producten niet effectief. " , concludeert Trusteer ingenieur Ilya Kolmanovich.