Uma nova versão do notório Trojan Neverquest, usado para roubos de informações financeiras, foi encontrado em novembro. Tem o nome de Vawtrack e está sendo espalhado por vários conta-gotas de malware, Zemot sendo um deles. A versão é conhecida por se espalhar principalmente na América do Norte, seguido pela Europa e Ásia. Zemot faz parte da família Upatre, frequentemente usado pela Asprox / Operadores de botnet Kuluoz para filtrar software malicioso adicional em computadores já afetados.
Processo de instalação modificado
especialistas em segurança, parte do grupo IBM Trusteer’s Threat and Intelligence observou que a nova versão do Trojan Neverquest tem um processo de instalação modificado. A comunicação com o controle e comando (C&C) servidor é conduzido através da rede proxy Tor2Web. As conexões nesta rede são criptografadas e aleatórias e não podem ser desmontadas, o que torna o Trojan Vawtrack quase impossível de rastrear.
Em uma postagem de blog sobre o assunto, o engenheiro da Trusteer Ilya Kolmanovich afirma: “… As infecções do Neverquest são suportadas por vários downloaders, incluindo Zemot, que foi abandonado pela campanha de e-mails de phishing Kuluoz, e o downloader Chaintor que usa Tor2web como um proxy para buscar sua carga, que está hospedado na rede Tor. Também notamos que os kits de exploração drive-by suportam a distribuição do Neverquest… ”.
A mudança no processo de infecção consiste em duas partes - uma colocando a carga útil da DLL maliciosa na pasta “% temp%” da máquina e a outra iniciando o “regsvr32.exe” da ferramenta de linha de comando. Uma vez executado em uma máquina, o Trojan se infiltra em um código malicioso e desaparece do sistema.
Ignorando software antivírus
O interessante do Vawtrack é que ele usa vários truques para contornar as ferramentas de detecção de vírus. Um deles é ter algo chamado “runkey recorrente” - técnica que garante a persistência do cavalo de Tróia na entrada do sistema, mesmo que tenha sido removido por um software antivírus. O outro é chamado de “watchdog” e está sendo usado como parte de seu módulo DLL, garantindo que o componente vital do malware não seja removido da máquina.
A nova versão do Neverquest traz novos recursos, como a capacidade de fazer capturas de tela e fazer vídeos dos desktops das máquinas. Também possui um módulo “Pony” integrado, seu objetivo é roubar certificados armazenados em navegadores, credenciais e chaves de servidores de e-mail e FTP.
Parece que a versão mais recente do Neverquest contém uma lista de mais de 300 alvos em todo o mundo, nem todos são do setor financeiro. Alguns deles são para jogos, redes sociais e mídia - isso é um sinal claro de que os criminosos estão trapaceando todas as informações que podem ser úteis para roubar meios.
→“Vimos o Neverquest evoluir e mudar sua forma de atividade várias vezes no ano passado, e com cada iteração, o motivo da mudança é tentar contornar os produtos de segurança. Produtos de segurança que implementam uma abordagem ingênua serão contornados com cada mudança que Neverquest implementa até que a nova modificação seja estudada. Até então, esses produtos são ineficazes. ” , conclui o engenheiro da Trusteer Ilya Kolmanovich.
