Esta ameaça é relativamente nova, e os cybercriminosos ainda não estão utilizando-a com a exploração de sua capacidade total. À luz da capacidade de auto-replicação do Neverquest, o número de utilizadores atacados poderia aumentar, consideravelmente, ao longo de um curto período de tempo.
Uma Análise dos Arquivos Executáveis
executable md5 | Compilation date |
0eb690560deb40bec1a5a9f147773d43 | Thu Sep 05 12:33:35 2013 |
212a7ef73af17a131bb02aa704aa1b14 | Thu Aug 29 15:30:01 2013 |
2a9e32e488c3e6d5ba8dc829f88ba31b | Fri Aug 23 12:10:14 2013 |
385509d00c7f652689a13df0c4142a91 | Sat Oct 28 05:37:40 2000 |
5c6f1704632afbbaa925fa71ebc2f348 | Wed Aug 28 10:22:16 2013 |
61720b34825e28e05c6a85a20dd908c9 | Mon Sep 02 16:41:05 2013 |
79da4f9675b87d261cb1b9cb9c47e70a | Mon Aug 26 14:35:00 2013 |
808b13ebae56569db0f7f243fab9e9ed | Wed Sep 04 10:50:18 2013 |
8e918b0f0643b1e6a7ae1ebf8fbaaec7 | Thu Sep 05 12:50:17 2013 |
a22cf98fb397b537de0f9c9f4263b6a5 | Mon Sep 11 02:47:52 2000 |
b26578721c11bf387ed72b02c1237ed7 | Fri Sep 06 21:40:39 2013 |
b76628896fb602d02abbcc118a704d30 | Thu Aug 29 15:30:24 2013 |
c0244295fc0cb98c938bb39bbada2e61 | Wed Aug 14 09:30:45 2013 |
dd12ec2f1cd96bc8677934abb6a545b0 | Fri Sep 06 21:40:39 2013 |
fd3231ab2f7829659c471b7369808fab | Tue Aug 27 09:38:43 2013 |
ffad56a2b4693d98e31ad8c4be86d055 | Wed Sep 04 13:13:45 2013 |
Uma tabela de MD5s executáveis para o Trojan-Banker.Win32 / 64.Neverquest com as respectivas datas de compilação.
A função principal deste programa, está contida em uma biblioteca dinâmica instalada em um sistema usando um programa adicional, como um Trojan Downloader ou um Trojan Dropper. Esses tipos de programas instalam o arquivo de biblioteca na pasta %AppData% sob um nome aleatório com a extensão DAT (por exemplo: qevcxcw.dat). Além disso, esta biblioteca é executado automaticamente devido a "regsvr32.exe/s [path para a biblioteca]", que está sendo adicionado ao registro em "SoftwareMicrosoftWindowsCurrentVersionRun." Depois disso, o programa começa a realizar o processo de exportação desta biblioteca, relacionado à inicialização do programa malicioso.
O programa verifica o computador para quaisquer cópias de si mesmo, que já podem ser instaladas na máquina. Se não houver nada, então será iniciado um servidor VNC e enviado o seu primeiro pedido ao centro de comando e controle. Isso seria feito com a finalidade de receber um arquivo de configuração. O arquivo de configuração é criptografado com uma chave, embalado por uma compressão da biblioteca aPLib e, em seguida, transmitido para o centro de comando. Esse arquivo de configuração contém um conjunto de JavaScripts maliciosos e uma lista de sites que, quando lançados no Internet Explorer ou Firefox, irão instalar os scripts correspondentes.
Existem 28 sites nessa lista, incluindo os que pertencem a grandes bancos internacionais - sites de bancos alemães, italianos, turcos e indianos, assim como sistemas de pagamento. Quando um usuário, a partir de um computador infectado, visitar um dos sites da lista, o malware controla a conexão do navegador com o servidor. Usuários mal-intencionados podem obter nomes de usuários e senhas digitadas pelo usuário, e modificar conteúdo de páginas Web. Todos os dados inseridos pelo usuário serão inseridos na página modificada e transmitidos para os cybercriminosos.
A webpage propagando com conteúdo malicioso. Todos os dados que o usuário inserir nesta página serão transmitidos para usuários mal-intencionados.
Depois de conseguir o acesso a uma conta de usuário com um sistema bancário on-line, os cybercriminosos usam um servidor SOCKS e conectam-se, remotamente, ao computador infectado através de um servidor VNC. Em seguida, passa a realizar transações e roubar dinheiro do usuário para as suas próprias contas ou para as contas de outras vítimas. Existe ainda outra função, que ajuda os elementos mal-intencionados a reabastecer sua lista de bancos específicos e a desenvolver o código para ser propagado em novos sites, que antes não estavam na lista de destino.
O arquivo de configuração contém uma lista de palavras-chave que, se forem encontrados em uma página da Web a partir do navegador, o prompt do programa malicioso pode interceptar o processo e enviar todo o conteúdo da página Web e sua URL para usuários mal-intencionados;
Com base nos dados recebidos, os usuários mal-intencionados, então, desenvolvem código adicional para ser propagado;
- O novo site é então, incluído na lista de sites segmentados, e o novo código é adicionado ao arsenal de scripts maliciosos no arquivo de configuração.
- O arquivo de configuração atualizado é então distribuído para todos os computadores infectados.
A lista de palavras-chave utilizadas para desenvolver código adicional é:
- availablebalance
- accountsummary
- checkingacount
- saldo
- cuenta
- Balance
- AvailableBalance
- AccountSummary
- CheckingAccount
- Availablebalance
- CurrentBalance
- AccountsBalanceFootnote
- Saldo
- Cuenta
- balance
- BusinessAccounts
- DepositAcounts
- AccountBalances
- CareerBuilder
- SiteKeyChallengeQuestion
De todos os sites segmentados por este programa especial, o fidelity.com - de propriedade da Fidelity Investments - parece ser o top-alvo. Esta empresa é uma das maiores empresas de fundos de investimento em todo o mundo. Além disso, o site oferece aos seus clientes uma longa lista de maneiras de gerenciar suas finanças online. Isso dá aos usuários mal-intencionados, a oportunidade de não só transferir fundos em dinheiro para as suas próprias contas, mas também para investir no mercado de ações, usando as contas e o dinheiro das vítimas.
Prevalência
Em 2009, a Kaspersky Lab detectou uma ameaça relacionada a uma nova maneira de espalhar malware. Este programa malicioso foi apelidado de "Bredolab", espalhado pelo botnet Pegel. Métodos de distribuição deste programa foram tão bem sucedidos que no início de 2010, ele ficou no Top 3 dos tipos de malware mais difundidos na Internet. Além disso, o trojan Neverquest usa os mesmos mecanismos de auto-replicação utilizados pelo Bredolab. As características do Neverquest incluem uma coleção de dados usados para acessar servidores FTP, através dos seguintes programas:
Far | Far2 | CuteFTP | Ipswitch | FlashFXP |
BulletProof FTP | SmartFTP | TurboFTP | FTP Explorer | Frigate3 |
SecureFX | FTPRush | BitKinex | NetDrive | LeechFTP |
FTPGetter | ALFTP | GlobalDownloader | Notepad++ | FTPInfo |
NovaFTP | FTPVoyager | WinFTP | DeluxeFTP | Staff-FTP |
FreshFTP | BlazeFtp | GoFTP | 3D-FTP | EasyFTP |
FTPNow | FTP Now | FTPShell | NexusFile | FastStoneBrowser |
FTP Navigator | FTP Commander | FFFTP | COREFTP | WebSitePublisher |
ClassicFTP | Fling | FTPClient | WebDrive | LinasFTP |
PuTTY | LeapFTP | WindowsCommander | TotalCommander | FileZilla |
ExpanDrive | AceBIT | Robo-FTP | WinZip | Firefox |
Thunderbird | InternetExplorer |
A table of programs used to access FTP servers targeted by Neverquest
Os dados roubados a partir desses programas, é então utilizado pelos cybercriminosos para distribuir ainda mais o programa malicioso, usando o Neutrino Pack Exploit, que é descrito pelos pesquisadores da Kaspersky Lab. Este programa malicioso também rouba dados de clientes de e-mail do usuário e faz uma coleta de dados durante as sessões SMTP/POP. Esta informação é usada por cybercriminosos para enviar spam mailings em massa, com anexos contendo trojans, que, em seguida, instalam o Neverquest. Esses e-mails são normalmente concebidos para que transmitam a idéia de notificações oficiais e mais uma variedade de serviços. Os nomes dos anexos maliciosos poderiam ser qualquer um dos seguintes processos:
travel-00034.jpg. zip
travel-00034.sg.67330-2-2-8.jpg.zip
jpg.zip
light details_united airlines.pdf.zip
Neverquest também é projetado para colher dados para acessar as contas de uma série de serviços sociais populares:
- blinkx.com
- flickr.com
- yahoo.com
- google.com
- skype.com
- ooyala.com
- amazonaws.com
- myspace.com
- wrproxy.com
- talltreegames.com
- meebo.com
- poptropica.com
- tagged.com
- icomment.com
- playsushi.com
- mathxl.com
- lphbs.com
- vkontakte.ru
- trainingpeaks.com
- yoville.com
- tubemogul.com
- farmville.com
- zynga.com
- webkinz.com
- xvideos.com
- facebook.com
- live.com
- ningim.com
- mortgagenewsdaily.com
- /wp-admin/admin-ajax.php
- twitter.com
- livestream.com
- brightcove.com
- hubpages.com
- fuckbook.com
- shutterfly.com
- applicationstat.com
- espnradio.com
- webex.com
- fwmrm.net
- auditude.com
- torn.com
Nesse contexto, a Kaspersky Lab não foi capaz de detectar a proliferação deste programa malicioso específico, através destes serviços, embora não haja nada que possa impedi-los de fazê-lo.
O fluxograma abaixo ilustra como Neverquest se espalha:
Conclusão
Neverquest suporta praticamente todos os truques possíveis, descritos em artigos anteriores que foram publicados sobre ataques online bancários: injeção Web, acesso remoto ao sistema, técnicas de engenharia social, e assim por diante.
Os seguintes módulos são construídos sob Neverquest:
- Um módulo que rouba dados inseridos pelos usuários em sites de bancos online. Os dados são roubados a partir dos navegadores IE e Firefox. Um módulo cujo código é propagado em sites bancários, quando lançado em IE ou Firefox. E um JavaScript malicioso, baixado para o código da página alvo do Trojan.
- Um servidor VNC: este fornece aos usuários maliciosos conexões remotas para realizar transações fraudulentas.
- Um password revester FTP. Dados roubados são utilizados por cybercriminosos para plantar packet exploits em servidores de propriedade dos usuários de máquinas infectadas.
- Um password revester de e-mail da conta. Os dados roubados são usados para enviar spam mailings em massa, com anexos maliciosos.
- Um módulo que colhe dados de contas de previdência social. Estes dados podem ser utilizados para espalhar links para recursos que foram previamente infectados.
- Um servidor SOCKS. Isto é usado para conectar anonimamente computadores das vítimas via VNC, durante as transações realizadas.
-Um RemoteShell. Este módulo é capaz de executar comandos remotos cmd.
Vale lembrar que as semanas que antecedem o Natal e Ano Novo são, tradicionalmente, um período de atividade do usuário altamente malicioso. Já em novembro, a Kaspersky Lab observou casos em que as mensagens foram feitas em fóruns cybercriminosos sobre a compra e venda de bancos de dados para acessar contas bancárias, além de outros documentos utilizados para abrir e gerenciar as contas para onde os fundos roubados são enviados. Dessa forma, podemos esperar para ver ataques em massa a partir do Neverquest para o final do ano, o que poderia levar a mais usuários se tornando vítimas de roubo de dinheiro online.
Saiba Mais:
[1] Secure List http://securelist.com/analysis/publi...-a-new-threat/
Mensagem do Sistema