Neverquest jetzt mit weitreichendem Sommer-Update

Im vergangenen Sommer wurde der Code des Windows-Banktrojaners Neverquest derart umgearbeitet, dass einige Forscher ihn sogar als neue Variation – Neverquest2 – bezeichnen. In den letzten Monaten beobachten die Forscher von Arbor Networks und andere Mitglieder der IT-Sicherheitscommunity einen allmählichen, aber überaus zielgerichteten Aktualisierungsprozess des Schädlings – der einstmals einträgliche Banker bereitet sich offensichtlich auf neue Attacken vor.

Laut Aussage der Experten ist Neverquest, alias Vawtrak, der Nachfolger des Trojaners Gozi und innerhalb seiner bisher dreijährigen Lebensdauer hat er Cyberdieben dabei geholfen, Millionen von Dollar von den Bankkonten der Infektionsopfer zu stehlen. Eine Zeitlang wurde Neverquest aktiv mit Hilfe des Exploit-Packs Neutrino verbreitet.

Arbor wird demnächst eine technische Beschreibung von Neverquest2 veröffentlichen, in der es heißt, dass die Cybergangster neue Plugins hinzugefügt und die Liste der Ziele aktualisiert haben, die jetzt 266 verschiedene Organisationen umfasst. Bei den meisten von ihnen handelt es sich um Finanzinstitutionen, die übrigen Objekte sind Regierungsstrukturen, Mobilfunkanbieter, Bezahlservices und Nachrichtenaggregatoren. Bemerkenswert ist, dass die neue Liste auch kommerzielle Websites enthält, die Operationen mit Kryptowährung durchführen – Neuland für Neverquest.

Die Hauptfunktion des Banken-Schädlings ist unverändert geblieben. Sobald er sich auf einem Rechner festgesetzt hat, wartet er ab, bis der Nutzer auf eine der Websites aus der Liste surft, schleust in das entsprechende Web-Formular ein zusätzliches Eingabefeld ein und stiehlt die darin eingegebenen vertraulichen Daten.

Zur Erinnerung: Im Jahr 2014 wurden wegen der Verwendung von Neverquest für die Umsetzung betrügerischer Transaktionen Festnahmen durchgeführt. Trotzdem ist der Trojaner allem Anschein nach noch Leben, er ist wohlauf und wird immer weiter perfektioniert. So wurde Neverquest vor anderthalb Monaten mit einem DGA-Algorithmus ausgestattet, der es ihm ermöglicht, eine große Zahl von Domainnamen zu generieren, über die er sich mit dem Steuerungszentrum verbinden kann. Die Experten bei Arbor haben zwei neue Module besonders hervorgehoben: eins für Reverse-Verbindungen und eins für den Diebstahl von digitalen Zertifikaten.

Das Backconnect-Modul (bc_32.dll) ergänzt die Unterstützung des entfernten Zugriffs auf einen infizierten Knoten über einen VNC-Server. „Ein Angreifer kann sich mit einem infizierten Computer verbinden, sich den Desktop anschauen, Zugriff auf die Webkamera erhalten und den Browserverlauf einsehen“, erklärt der Forscher. „Er erhält vollständigen Zugriff auf den PC des Opfers und kann willkürliche CMD-Befehle ausführen und mit dem Task Manager interagieren.“. Der entfernte Zugriff kann auch für die Installation des Trojaners Pony genutzt werden.

Das zweite Modul, dg_32.dll, macht es möglich, Zertifikate ausfindig zu machen und zu stehlen, die auf einem infizierten Computer gespeichert sind. Dieses Plugin verwendet laut Arbor „CertOpenSystemStore() und mit dieser Funktion verbundene kryptografische API, um Zugriff auf die Zertifikatsspeicher zu erhalten, die mit privaten Schlüsseln, Zertifikatsstellen usw. in Verbindung gebracht werden. Es scannt ein infiziertes System auf der Suche nach Browser-Profilen, Cookies, Browser-Verläufen und Browser-Cache-Einträgen.“

„Bei dem neusten Sample von Neverquest2 handelt es sich um eine gut projektierte, modulare Schadplattform auf professionellem Niveau“, konstatieren die Forscher. „Soweit man es beurteilen kann, wurde die Funktionalität (Neverquest2) gegenüber einigen Neverquest-Samples aus dem Jahr 2015 erweitert. Die jüngsten Veränderungen, wie z.B. die Umsetzung des DGA-Mechanismus‘ zur Kommunikation mit den C&C-Servern, zeigt allerdings, dass diese Bedrohung nach wie vor aktiv weiterentwickelt wird.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.