За две с половиной недели мониторинга деятельности Neverquest исследователи из Arbor Networks собрали более 6,67 тыс. сэмплов этого банкера, обнаружили 609 командных серверов и насчитали 50 разных вредоносных кампаний, использующих 699 уникальных веб-инжектов. Экспертам удалось также перехватить трафик на ряде C&C-доменов Neverquest по методу sinkhole и получить представление о географическом разбросе жертв и мишеней зловреда.

Банковский троянец Neverquest, он же Vawtrak, появился в Интернете около двух лет назад. Он загружается в систему с помощью даунлоудеров и дропперов, которые обычно раздаются с участием эксплойт-паков, через почтовый спам или вредоносные ссылки, публикуемые в социальных сетях. Neverquest использует внушительный набор веб-инжектов для проведения MitB-атак с целью получения доступа к банковским счетам и перехвата одноразовых кодов транзакций. Этот троянец способен воровать данные из email-клиентов, пароли от FTP и сохраненные в браузере идентификаторы, которые впоследствии используются для его дальнейшего распространения; умеет осуществлять захват видео и делать скриншоты, красть сертификаты и куки, выполнять команды, загружать обновления и т.п. Зловред также открывает своим хозяевам удаленный доступ к зараженному ПК через VPN и SOCKS-прокси.

Чтобы держать столь разносторонний инструмент в тонусе, злоумышленники постоянно его совершенствуют, расширяют спектр мишеней и списки C&C-доменов, а также объем средств, которые Neverquest использует для самозащиты. Так, недавний анализ одного из образцов банкера показал, что тот использует несколько слоев обфускации; другой актуальный вариант Neverquest при проверке продемонстрировал умение напрямую загружать из сети Tor обновления, закодированные в фавиконах. По наблюдениям Arbor, новые сборки троянского банкера появляются с частотой примерно один раз в месяц.

Современный Neverquest атакует не только пользователей онлайн-банкинга, но также посетителей игровых сайтов, интернет-магазинов и социальных сетей. По данным Arbor, в конце марта объектами внимания зловреда являлись сайты и сервисы из 25 разных стран. При этом наибольшее количество мишеней (IP-адресов, раздаваемых в веб-инжектах) пришлось на долю США (230). Популярность американских сервисов у злоумышленников подтверждает и статистика Arbor по отдельным кампаниям с использованием Neverquest: авторов 45 из 50 этих индивидуальных «проектов» интересовали в числе прочих учетные записи американцев. Во многих случаях мишенями данного банкера являлись также британские сайты (36 уникальных кампаний), ресурсы Германии и Голландии (по 33).

Исследователи при этом отметили одну интересную особенность: разные Neverquest-кампании порой были направлены на одни и те же страны. Вполне возможно, их инициаторы попросту прибегли к теневой услуге «Вредоносное ПО как сервис» и использовали пакет с дефолтными настройками, присвоив своей операции ID, чтобы было легче отслеживать результаты.

Месяц непрерывного мониторинга трафика на многих C&C-доменах Neverquest позволил Arbor обнаружить около 64,5 тыс. его жертв (IP-адресов) с большими зонами поражения на территории Великобритании, США и Японии. Кстати, недавно токийская полиция опубликовала свою оценку популяции Neverquest. При поддержке некой ИБ-компании местным киберкопам, похоже, удалось подменить один из командных серверов банкера; с февраля по март перехватчики насчитали 82 тыс. зараженных ПК, пытавшихся передать данные на этот C&C. Из них около 44 тыс. имели японскую прописку.

Категории: Вредоносные программы, Главное