Badacze bezpieczeństwa z IBM Trusteer odkryli nowy wariant trojana bankowego Neverquest skierowanego w instytucje finansowe na całym świecie. Pierwsze próbki Neverquesta po raz pierwszy zostały zauważone w listopadzie 2013 roku. Od tego czasu pojawiło się wiele jego odmian pisanych przez różnych autorów szkodliwego oprogramowania. Pomimo, że Neverquest atakuje cele bankowe na całym świecie, jego najnowsza kompilacja „upodobała sobie” instytucje bankowe w Stanach Zjednoczonych i Japonii. Trojan Neverquest do ataku może wykorzystywać wiele wektorów i obchodzić bankowe systemy zabezpieczeń. Potrafi w locie modyfikować kod strony WWW, uzyskiwać dostęp do systemu, wykorzywać socjotechnikę i wiele innych. Trojan Neverquest dziedziczy od robaka komputerowego zdolność replikowania się. Według naukowców, najnowsza odmiana zagrożenia została użyta przeciwko instytucjom finansowym na całym świecie, ale największą liczbę infekcji zaobserwowano w Ameryce Północnej.

W listopadzie tego roku IBM Trusteer wykrył prawie 4000 infekcji w Ameryce Północnej, a ponad 1000 zakażeń w Europie. Co ciekawe, nowy Neverquest jest też używany przeciwko instytucjom bankowym w Azji - w poprzednim miesiącu dostrzeżono 100 infekcji.

Trojan Neverquest na świecie

Naukowcy z wykorzystaniem inżynierii wstecznej odkryli w pliku konfiguracyjnym listę 300 organizacji i klientów. Większość celów to instytucje finansowe, ale niektóre firmy należą do sektora mediów społecznościowych i portali z grami.

Celem przeniesienia szkodliwego oprogramowania na komputer ofiary, nowy wariant Neverquest rozprzestrzenia się za pomocą ataków drive-by download i wykorzystuje pobierane z sieci TOR downloadery Zemto i Chaintor. Eksperci stwierdzili, że proces instalacji najnowszego Neverquesta różni się w porównaniu do poprzednich wariantów. Gdy trojan znajdzie się na komputerze, moduł w pliku DLL wstrzykuje szkodliwy kod i wykonuje go przy pomocy regsvr32.exe z użyciem wiersza poleceń. W kolejnym etapie trojan tworzy swoją kopie w folderze %AppData% lub %ProgramData% - w zależności od systemu operacyjnego działającego na zainfekowanym komputerze. Wreszcie funkcja "CreateRemoteThread" wykorzystywana jest do wstrzyknięcia szkodliwego kodu w procesy systemu Windows, takie jak "explorer.exe".

Trojan Neverquest

Autorzy Neverquesta wykorzystują dwie techniki do maskowania trojana. Po pierwsze, metoda znana jako recurring runkey służy do modyfikacji rejestru systemu Windows w taki sposób, by wpis nie mógł zostać usunięty. Po drugie, technika zwana watchdog stosowana jest w celu odtworzenia ważnych składników po ich zakończeniu. Kolejną istotną zmianą nowego trojana jest zaobserwowanie przez naukowców z Trusteer sposobu komunikacji z serwerem C&C, a dokładniej, złośliwe oprogramowanie wykorzystuje nowy wzorzec komunikacji, który nie występował w starych próbkach. Nowy wariant Neverquest ma możliwość przechwytywania wideo i zdjęć oraz przeprowadzania ataków typu man-in-the-middle oraz man-in-the-browser. Złośliwe oprogramowanie posiada również moduł, który pozwala cyberprzestępcom zbierać hasła z klientów FTP, e-maili oraz przeglądarek internetowych.

Trojan bankowy, co to takiego?

Jeśli nieznane są Wam skutki  działania trojanów bankowych to tym lepiej dla Was. Nikomu tego nie życzymy. Niemniej jednak z pomocą programów Arcabit warto prewencyjnie zabezpieczyć się przez szkodliwą działalnością szerokiego spektrum wirusów. Pozwoli Wam to nie tylko spokojnie spać nie martwiąc się o "wirtualny" stan konta, ale także zabezpieczy przed różnymi wektorami rozprzestrzeniania się złośliwego oprogramowania: e-mail, USB, CD/DVD, social media, malvertising i wiele innych.

źródło: Arcabit