Минувшим летом код банковского Windows-троянца Neverquest был настолько переработан, что некоторые исследователи даже нарекли новую вариацию Neverquest2. В последние месяцы исследователи из Arbor Networks и другие участники ИБ-сообщества наблюдают неспешный, но весьма целенаправленный процесс обновления зловреда; по всей видимости, этот некогда плодовитый банкер готовится к новым атакам.

По свидетельству экспертов, Neverquest, он же Vawtrak, является наследником троянца Gozi и за три года своего существования помог злоумышленникам украсть миллионы долларов с банковских счетов жертв заражения. Одно время Neverquest активно распространялся с помощью эксплойт-пака Neutrino.

Arbor готовит к выпуску техническое описание Neverquest2, в котором сказано, что вирусописатели добавили новые плагины и обновили список мишеней, который теперь включает 266 разных организаций. Большинство из них составляют финансовые институты, остальные объекты — правительственные структуры, операторы беспроводной связи, зарплатные сервисы и агрегаторы публичной информации. Примечательно, что в новом списке числятся также коммерческие сайты, осуществляющие операции с криптовалютой, — это нововведение для Neverquest.

Основной функционал банкера не изменился. Оказавшись на машине, он ждет, когда пользователь зайдет на один из сайтов заданного списка, внедряет в веб-форму дополнительные поля и крадет введенные в них конфиденциальные данные.

Напомним, в 2014 году были произведены аресты по факту использования Neverquest для проведения мошеннических транзакций. Тем не менее, как видим, сам троянец жив, здравствует и продолжает совершенствоваться. Так, месяца полтора назад Neverquest обрел алгоритм DGA, позволяющий генерировать большое количество доменных имен, по которым можно связаться с центром управления. Эксперты Arbor также особо отметили два новых модуля: для реверсных соединений и для кражи цифровых сертификатов.

Бэкконнект-модуль (bc_32.dll) добавляет поддержку удаленного доступа к зараженному узлу через VNC-сервер. «Атакующий может подключиться к зараженному компьютеру, просмотреть рабочий стол, получить доступ к веб-камере, изучить историю браузера, — поясняют исследователи. — Он обретает полный доступ к ПК жертвы и сможет выполнять произвольные команды, доступные из консоли, или взаимодействовать с диспетчером задач». Удаленный доступ может также использоваться для установки троянца Pony.

Второй модуль, dg_32.dll, позволяет отыскивать и воровать сертификаты, сохраненные на зараженном компьютере. Этот плагин, согласно Arbor, «использует CertOpenSystemStore() и связанные с этой функцией криптографические API для получения доступа к хранилищам сертификатов, ассоциированных с закрытыми ключами, УЦ и т.п. Он сканирует зараженную систему в поисках профилей браузера, куки, истории браузера и записей в кэше браузера».

«Новейший образец Neverquest2 представляет собой хорошо спроектированную модульную вредоносную платформу профессионального уровня,  констатируют исследователи.  Насколько можно судить, функциональность (Neverquest2) немного расширена в сравнении с некоторыми сэмплами Neverquest выпуска 2015 года. Однако недавние изменения, такие как реализация DGA-механизма для обращения к C&C-серверам, показывают, что данная угроза по-прежнему находится в активной разработке».

Категории: Аналитика, Вредоносные программы