Μια ενημερωμένη έκδοση του Neverquest Trojan που ανακαλύφθηκε τον Νοέμβριο στοχοποιεί κυρίως τους χρήστες της Βόρειας Αμερικής και δευτερευόντως χρήστες από την Ευρώπη και την Ασία.
Οι ερευνητές διαπίστωσαν ότι η τελευταία παραλλαγή της απειλής, η οποία είναι επίσης γνωστή με το όνομα Vawtrack, διαδίδεται μέσω διαφόρων malware droppers συμπεριλαμβανομένου και του Zemot.
Το Zemot είναι μέρος της οικογένειας Upatre, το οποίο έχει χρησιμοποιηθεί επανειλημμένως από τους διαχεριστές του botnet Asprox / Kuluoz για να διοχετεύσει περισσότερα malwares σε υπολογιστές που έχουν ήδη μολυνθεί.
H Newpark Resources χτυπήθηκε από Ransomware
Πρόστιμο ΜΕΤΑ: Παράνομη Συλλογή Δεδομένων στην Νότια Κορέα
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Ερευνητές Ασφάλειας στην Trusteer της IBM παρατήρησαν ότι η τελευταία έκδοση του Neverquest περιλαμβάνει μια παραλλαγμένη διαδικασία εγκατάστασης και η επικοινωνία με τους C&C servers γίνεται πλέον μέσω του Tor2web δικτύου.
Με την τοποθέτηση των servers στο Tor, οι κυβερνοεγκληματίες προστατεύουν το εγχείρημά τους καθώς οι συνδέσεις στο εσωτερικό του δικτύου κρυπτογραφούνται και παραμένουν ανώνυμες.
Η Ilya Kolmanovich, μηχανικός στην Trusteer, σημειώνει σε ένα blog post, το νέο Neverquest διαδίδεται επίσης μέσω exploit kits σε επιθέσεις drive-by.
Η τροποποίηση της διαδικασίας της επίθεσης ολοκληρώνεται σε δύο στάδια. Το πρώτο συνίσταται στην εγγραφή του κακόβουλου DLL payload στο φάκελο %temp%, ενώ το δεύτερο το εκτελεί με το εργαλείο γραμμής εντολών “regsvr32.exe“.
Μετά την εκτέλεση του αρχείου, ένας μεγάλος αριθμός διεργασιών των Windows “μολύνονται” με κακόβουλο κώδικα και o dropper διαγράφεται από το σύστημα.
Η Kolmanovich αναφέρει ότι το τελευταίο στέλεχος του Neverquest βασίζεται στην τεχνική του “recurring key” ώστε να επιτευχθεί το persistence και η ανοσοποίηση έναντι της διαγραφής του malware από τα προϊόντα antivirus. Αυτό γίνεται με τη συνεχή εγγραφή του στο μητρώο των Windows.
Μια άλλη τεχνική που παρατηρήθηκε ονομάζεται «watchdog» και έχει σχεδιαστεί για το κρίσιμο DLL module. Αυτό αναπαράγεται αμέσως μετά τον τερματισμό του, από άλλες injected διεργασίες.
Το νέο δείγμα έχει επίσης αυξημένες δυνατότητες, όπως η δυνατότητα εγγραφής βίντεο και καταγραφής screenshots. Επιπλέον, έχει ενσωματωθεί ένα Pony module, σκοπός του οποίου είναι να υποκλέψει τα διαπιστευτήρια που είναι αποθηκευμένα στο πρόγραμμα περιήγησης, καθώς και τα κλειδιά των email clients και των FTP προγραμμάτων.
Φαίνεται ότι η τελευταία έκδοση της απειλής περιλαμβάνει αυτή τη στιγμή έναν κατάλογο 300 στόχων σε όλο τον κόσμο, αλλά δεν ανήκουν όλοι στον χρηματοπιστωτικό τομέα. Μερικοί στόχοι σχετίζονται με τυχερά παιχνίδια, κοινωνικά δίκτυα και μέσα ενημέρωσης, γεγονός που αποτελεί σαφές σημάδι ότι οι απατεώνες “κυνηγούν” οποιαδήποτε πληροφορία που μπορεί να χρησιμοποιηθεί για να κερδίσουν χρήματα.
Σχετικά με την προστασία από το Neverquest, η Kolmanovich αναφέρει ότι “Τα προϊόντα ασφαλείας που εφαρμόζουν μια απλοϊκή προσέγγιση θα παρακαμφθούν με κάθε αλλαγή που το Neverquest εφαρμόζει έως ότου μελετηθεί η νέα τροποποίηση. Μέχρι τότε, τα προϊόντα αυτά είναι αναποτελεσματικά”.