Arbor: Ergebnisse des Neverquest-Monitorings im März

Innerhalb der 2 ? Wochen, in denen die Experten von Arbor Networks die Aktivität von Neverquest beobachteten, sammelten sie mehr als 6.670 Samples dieses Bankers, entdeckten 609 Steuerungsserver und zählten 50 verschiedene Schadkampagnen, bei denen 699 individuelle Webeinschleusungen vorgenommen wurden. Den Experten gelang es auch, den Traffic auf einer Reihe von C&C-Domains von Neverquest mit der Sinkhole-Methode abzufangen und so eine Vorstellung von der geografischen Verteilung der Opfer und Ziele des Schädlings zu bekommen.

Der Bank-Trojaner Neverquest alias Vawtrak tauchte vor etwa zwei Jahren erstmals im Internet auf. Er wird mit Hilfe von Downloadern und Droppern ins System geladen, die üblicherweise unter Beteiligung von Exploit-Packs, via E-Mail-Spam oder über in sozialen Netzwerken veröffentlichte schädliche Links bereitgestellt werden. Neverquest verfügt über eine beeindruckende Auswahl an Web-Injects zur Durchführung von MitB-Attacken, die zum Ziel haben, Zugriff auf die Bankkonten zu erhalten und TANs abzufangen. Dieser Trojaner ist in der Lage, Daten aus E-Mail-Clients, FTP-Passwörter und im Browser gespeicherte Login-Daten zu stehlen, die in der Folge dazu benutzt werden, den Schädling weiter zu verbreiten. Er kann sich Videos aneignen und Screenshots erstellen, Zertifikate und Cookies stehlen, Befehle ausführen, Updates laden und so weiter und so fort. Der Schädling verschafft seinem Herrn und Meister außerdem via VPN und SOCKS-Proxy Zugriff auf einen entfernten PC.

Um ein derart vielseitiges Tools instand zu halten, perfektionieren es die Cyberkriminellen fortwährend, erweitern sein Zielspektrum und die Liste der C&C-Domains sowie auch die Auswahl der Mittel, die Neverquest zum Selbstschutz verwendet. So hat eine vor kurzem durchgeführte Analyse eines der Samples dieses Bankers gezeigt, dass er mehrere Obfuskationsebenen einsetzt; eine andere aktuelle Neverquest-Variante demonstrierte bei einem Test die Fähigkeit, direkt aus dem Netzwerk Tor Updates zu laden, die in Favicons kodiert waren. Gemäß den Beobachtungen von Arbor erscheint etwa einmal im Monat eine neue Variante des Bank-Trojaners.

Der aktuelle Neverquest greift nicht nur Online-Banking-User an, sondern auch die Besucher von Game-Websites, Internet-Shops und sozialen Netzwerken. Nach Angaben von Arbor standen im März Websites und Services aus 25 verschiedenen Ländern im Zentrum der Aufmerksamkeit dieses Schadprogramms. Dabei entfiel der größte Anteil der Ziele (IP-Adressen, die mit von Web-Injects angegriffenen Sites in Verbindung stehen) auf die USA (230). Die Popularität der amerikanischen Services unter Cyberkriminellen wird auch durch die Arbor-Statistik zu den einzelnen Kampagnen unter Verwendung von Neverquest bestätigt: Die Autoren von 45 der 50 individuellen „Projekte“ interessierten sich unter anderen für die Konten amerikanischer Bürger. In vielen Fällen standen auch britische Sites im Visier dieses Bankers (36 individuelle Kampagnen) sowie Ressourcen in Deutschland und Holland (je 33).

Den Forschern fiel zudem eine interessante Besonderheit auf: Verschiedene Neverquest-Kampagnen richteten sich bisweilen gegen ein und dieselben Länder. Es ist durchaus möglich, dass ihre Initiatoren auf den Untergrundservice „Malware als Service“ zurückgegriffen und ein Paket mit Standard-Einstellungen verwendet haben, nachdem sie ihrer Operation eine ID zugeteilt hatten, um die Resultate besser zuordnen zu können.

Durch einen Monat ununterbrochener Beobachtung des Traffics auf vielen C&C-Domains von Neverquest konnte Arbor um die 64.500 seiner Opfer (IP-Adressen) identifizieren, mit großen Verbreitungsgebieten in Großbritannien, den USA und Japan. Kürzlich hat übrigens die Tokioter Polizei ihre Einschätzung der Neverquest-Population veröffentlicht. Mit Unterstützung eines IT-Sicherheitsunternehmens ist es den dortigen Cybercops anscheinend gelungen, einen der Steuerungsserver des Bankers auszutauschen. Von Februar bis März zählten die Behörden 82.000 infizierte PCs, die versuchten Daten an diesen C&C zu übermitteln. Etwa 44.000 dieser Rechner stammten aus Japan.

Quelle:        Arbor Networks

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.