Методы обнаружения вирусов

Новая угроза для онлайн-банка

18-го июля 2013 года на одном из закрытых форумов злоумышленников появилось следующее сообщение:

 

Его автор предлагал к распространению программу для атаки «около 100 банков» с использованием внедрения дополнительного кода в загружаемые страницы банков, c VNC подключением и дополнительной возможностью атак «любого банка любой страны».

Мы немедленно начали исследование и выяснили, что злоумышленник предлагал к распространению программу Trojan-Banker.Win32/64.Neverquest. Всего к середине ноября в разных странах мира мы зафиксировали несколько тысяч попыток заражений Neverquest. Эта вредоносная программа появилась относительно недавно, и злоумышленники работают с ней еще не в полном объеме. Учитывая возможности Neverquest по самораспространению, число атакованных пользователей может значительно вырасти за небольшой промежуток времени.

Анализ исполняемых файлов

executable md5 Compilation date

0eb690560deb40bec1a5a9f147773d43

Thu Sep 05 12:33:35 2013

212a7ef73af17a131bb02aa704aa1b14

Thu Aug 29 15:30:01 2013

2a9e32e488c3e6d5ba8dc829f88ba31b

Fri Aug 23 12:10:14 2013

385509d00c7f652689a13df0c4142a91

Sat Oct 28 05:37:40 2000

5c6f1704632afbbaa925fa71ebc2f348

Wed Aug 28 10:22:16 2013

61720b34825e28e05c6a85a20dd908c9

Mon Sep 02 16:41:05 2013

79da4f9675b87d261cb1b9cb9c47e70a

Mon Aug 26 14:35:00 2013

808b13ebae56569db0f7f243fab9e9ed

Wed Sep 04 10:50:18 2013

8e918b0f0643b1e6a7ae1ebf8fbaaec7

Thu Sep 05 12:50:17 2013

a22cf98fb397b537de0f9c9f4263b6a5

Mon Sep 11 02:47:52 2000

b26578721c11bf387ed72b02c1237ed7

Fri Sep 06 21:40:39 2013

b76628896fb602d02abbcc118a704d30

Thu Aug 29 15:30:24 2013

c0244295fc0cb98c938bb39bbada2e61

Wed Aug 14 09:30:45 2013

dd12ec2f1cd96bc8677934abb6a545b0

Fri Sep 06 21:40:39 2013

fd3231ab2f7829659c471b7369808fab

Tue Aug 27 09:38:43 2013

ffad56a2b4693d98e31ad8c4be86d055

Wed Sep 04 13:13:45 2013

Таблица md5 исполняемых файловTrojan-Banker.Win32/64.Neverquest и дата их компиляции

Основной функционал данной программы содержится в динамической библиотеке, устанавливаемой в системе с помощью дополнительных программ типа Trojan-Downloader и/или Trojan-Dropper. Данные программы устанавливают файл библиотеки в папку %appdata% под случайным именем с расширением .DAT (например, qevcxcw.dat). Автозапуск данной библиотеки обеспечивается за счет добавления в реестр записи "regsvr32.exe /s [путь к библиотеке]” в ветке “Software\Microsoft\Windows\CurrentVersion\Run”.После этого начинает работу единственный экспорт данной библиотеки с началом инициализации вредоносной программы.

 
Дизассемблированный код начала вредоносной программы Neverquest

Программа проверяет наличие на компьютере уже запущенной своей копии, если таковой нет, то запускает VNC сервер и посылает первый запрос на сервер управления для получения конфигурационного файла для своей работы.

 
Конфигурационный файл вредоносной программы Neverquest

Конфигурационный файл зашифрован с помощью ключа, который упакован с использованием библиотеки сжатия aPLib и передается сервером управления.

В конфигурационном файле содержится набор кодов для внедрения в браузеры IE и Firefox, а также список сайтов, в страницы которых во время загрузки внедряются соответствующие вредоносные JavaScript.

В этом списке 28 сайтов, среди которых веб-ресурсы крупных международных банков, сайты немецких, итальянских, турецких и индийских банков, а также платежных систем.

Когда пользователь зараженной машины заходит на сайты из списка, вредоносная программа контролирует соединение браузера с сервером. Злоумышленники могут получить логин и пароль, которые вводит пользователь, а также модифицировать содержимое веб-страницы. Все данные, которые пользователь вводит на модифицированной странице, также передаются злоумышленникам.

 
Веб-страница с внедренным вредоносным содержимым. Все данные, которые пользователь вводит такой странице, передаются злоумышленникам

Получив доступ к счету пользователя в системе онлайн-банкинга, злоумышленники, используя SOCKS сервер и удаленное подключение к зараженному компьютеру через VNC сервер, проводят транзакцию и переводят деньги пользователя на свои счета или - для запутывания следов - на счета других жертв.

Дополнительный функционал позволяет злоумышленникам пополнять список атакуемых банков и разрабатывать коды внедрения для новых сайтов, которые изначально не входили в перечень. Реализуется это следующим образом:

  1. В конфигурационном файле содержится список слов, при наличии которых на странице в браузере вредоносная программа перехватывает и отправляет злоумышленникам полное содержимое страницы и её URL.
  2. На основании полученных данных злоумышленники разрабатывают дополнительный код для внедрения на этой странице.
  3. Новый сайт включается в список атакуемых сайтов, а новый код – в набор вредоносных скриптов в конфигурационном файле.
  4. Обновленный конфигурационный файл раздаётся все зараженные компьютеры.

Список слов, на основании наличия которых происходит разработка дополнительных кодов внедрения, следующий:

  • availablebalance
  • accountsummary
  • checkingacount
  • saldo
  • cuenta
  • Balance
  • AvailableBalance
  • AccountSummary
  • CheckingAccount
  • Availablebalance
  • CurrentBalance
  • AccountsBalanceFootnote
  • Saldo
  • Cuenta
  • balance
  • BusinessAccounts
  • DepositAcounts
  • AccountBalances
  • CareerBuilder
  • SiteKeyChallengeQuestion

Из всех сайтов, находящихся под атакой данной программы, наибольший интерес представляет сайт fidelity.com, принадлежащий Fidelity Investments – одному из самых крупных фондов взаимных инвестиций в мире. На сайте клиентам предлагается широкий список возможностей управления своими финансами. Это даёт злоумышленникам шанс не только переводить деньги на свои счета, но и играть на фондовых рынках, используя  учетные записи и денежные средства жертв данной вредоносной программы.

Распространение

В 2009 году мы обнаружили угрозу, связанную с новым способом распространения вредоносных программ. Эта вредоносная программа получила название Bredolab, а ботнет, построенный на ней, - Pegel. Способы распространения данной программы оказались настолько удачными, что в начале 2010 года она входила в TOP3 самых распространённых вредоносных программ в интернете. Вредоносная программа Neverquest реализует те же механизмы самораспространения, что и Bredolab.

Функционал Neverquest включает сбор данных для доступа к FTP-серверам с помощью следующих программ:

Far Far2 CuteFTP Ipswitch FlashFXP
BulletProof FTP SmartFTP TurboFTP FTP Explorer Frigate3
SecureFX FTPRush BitKinex NetDrive LeechFTP
FTPGetter ALFTP GlobalDownloader Notepad++  FTPInfo
NovaFTP FTPVoyager WinFTP DeluxeFTP Staff-FTP
FreshFTP BlazeFtp GoFTP 3D-FTP EasyFTP
FTPNow FTP Now FTPShell NexusFile FastStoneBrowser
FTP Navigator FTP Commander FFFTP COREFTP WebSitePublisher
ClassicFTP Fling FTPClient WebDrive LinasFTP
PuTTY LeapFTP WindowsCommander TotalCommander FileZilla
ExpanDrive AceBIT Robo-FTP WinZip Firefox
Thunderbird InternetExplorer      


Таблица программ для доступа к FTP-серверам, атакуемым вредоносной программой Neverquest

Информацию, украденную из данных программ, злоумышленники используют для дальнейшего распространения вредоносной программы с использованием эксплойт-пака Neutrino, описанного нашими коллегами, например, здесь.

В функционал данной вредоносной программы включает также кражу данных email-клиентов жертвы и сбор данных во время SMTP/POP сессий. Данная информация используется злоумышленниками для рассылки спама с вложенным Trojan-Downloader’ом, устанавливающим Neverquest. Как правило, рассылаются подделки под официальные нотификации различных сервисов. Имена вредоносных вложений при этом могут быть:

  • travel-00034.jpg. zip
  • travel-00034.sg.67330-2-2-8.jpg.zip
  • jpg.zip
  • light details_united airlines.pdf.zip

 
Пример спамового письма, содержащего Trojan-Downloader для установки вредоносной программы Neverquest

В функционал данной вредоносной программы входит также сбор данных для доступа к аккаунтам популярных социальных сервисов, таких как:

  • blinkx.com
  • flickr.com
  • yahoo.com
  • google.com
  • skype.com
  • ooyala.com
  • amazonaws.com
  • myspace.com
  • wrproxy.com
  • talltreegames.com 
  • meebo.com
  • poptropica.com
  • tagged.com
  • icomment.com
  • playsushi.com
  • mathxl.com
  • lphbs.com
  • vkontakte.ru
  • trainingpeaks.com
  • yoville.com
  • tubemogul.com
  • farmville.com
  • zynga.com
  • webkinz.com
  • xvideos.com
  • facebook.com
  • live.com
  • ningim.com
  • mortgagenewsdaily.com
  • /wp-admin/admin-ajax.php
  • twitter.com
  • livestream.com
  • brightcove.com
  • hubpages.com
  • fuckbook.com
  • shutterfly.com
  • applicationstat.com
  • espnradio.com
  • webex.com
  • fwmrm.net
  • auditude.com
  • torn.com 

Нам не удалось обнаружить распространение данной вредоносной программы через эти сервисы, однако ничего  не мешает злоумышленникам начать это делать.

Итак, схема распространения данной вредоносной программы выглядит следующим образом:

 
Схема распространения вредоносной программы Neverquest

Заключение

Вредоносная программа Neverquest поддерживает практически все способы обхода защиты систем онлайн-банкинга, описанные в нашей предыдущей статье про атаки на банковские системы: веб-инжект, удаленный доступ к системе, социальную инженерию и т.д.

В функционал Neverquest встроены модули:

  1. Модуль для кражи данных, которые пользователь вводит на сайтах онлайн-банков. Кража осуществляется из браузеров IE и Firefox.
  2. Модуль для внедрения кода в страницы онлайн-банков во время их загрузки в IE или Firefox. Вредоносный JavaScript загружается в код нужной троянцу веб-странички.
  3. VNC сервер. Удалённое подключение используется злоумышленниками при проведении мошеннической транзакции.
  4. Сборщик паролей от FTP. Украденные данные используются злоумышленниками для размещения эксплойт-паков на серверах, принадлежащих пользователям зараженных машин.
  5. Сборщик паролей от аккаунтов электронной почты. Украденные данные используются для рассылки спама с вредоносными вложениями.
  6. Модуль для сбора данных аккаунтов социальных сервисов. Данные могут быть использованы для распространения ссылок на ранее зараженные ресурсы.
  7. SOCKS сервер. Используется для анонимного подключения к компьютерам жертвы по VNC при проведении транзакции.
  8. RemoteShell. Способен выполнять удалённые команды cmd.exe.

Канун Рождества и новогодних праздников — период традиционной активности злоумышленников, ворующих деньги со счетов пользователей. Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам и документов, используемых для открытия и управления счетами, на которые переводятся украденные деньги. Поэтому ближе к концу года нам следует ожидать массовые атаки Neverquest, которые могут привести к финансовым потерям пользователей.

 
Сообщение на хакерском форуме о покупке доступа к банковским счетам
и документов

В заключение хочется добавить, что после закрытия нескольких уголовных дел, связанных с созданием и распространением вредоносных программ для кражи информации на банковских сайтах, на черном рынке образовалась некая “дыра”, которую стремятся заполнить новые игроки с новыми технологиями и идеями. И вредоносная программа Neverquest является лишь одним из претендентов на лидерство, прежде принадлежавшее таким программам как ZeuS и Carberp.

Для защиты от подобных зловредов необходимо использовать не только стандартный антивирус, но и специальные решения, обеспечивающие безопасность транзакций -  в частности, контролирующие запущенный процесс браузера и защищающие его от манипуляций со стороны других приложений.

НОВОЕ НА САЙТЕ