Новая угроза для онлайн-банка
18-го июля 2013 года на одном из закрытых форумов злоумышленников появилось следующее сообщение:
Его автор предлагал к распространению программу для атаки «около 100 банков» с использованием внедрения дополнительного кода в загружаемые страницы банков, c VNC подключением и дополнительной возможностью атак «любого банка любой страны».
Мы немедленно начали исследование и выяснили, что злоумышленник предлагал к распространению программу Trojan-Banker.Win32/64.Neverquest. Всего к середине ноября в разных странах мира мы зафиксировали несколько тысяч попыток заражений Neverquest. Эта вредоносная программа появилась относительно недавно, и злоумышленники работают с ней еще не в полном объеме. Учитывая возможности Neverquest по самораспространению, число атакованных пользователей может значительно вырасти за небольшой промежуток времени.
Анализ исполняемых файлов
executable md5 | Compilation date |
0eb690560deb40bec1a5a9f147773d43 |
Thu Sep 05 12:33:35 2013 |
212a7ef73af17a131bb02aa704aa1b14 |
Thu Aug 29 15:30:01 2013 |
2a9e32e488c3e6d5ba8dc829f88ba31b |
Fri Aug 23 12:10:14 2013 |
385509d00c7f652689a13df0c4142a91 |
Sat Oct 28 05:37:40 2000 |
5c6f1704632afbbaa925fa71ebc2f348 |
Wed Aug 28 10:22:16 2013 |
61720b34825e28e05c6a85a20dd908c9 |
Mon Sep 02 16:41:05 2013 |
79da4f9675b87d261cb1b9cb9c47e70a |
Mon Aug 26 14:35:00 2013 |
808b13ebae56569db0f7f243fab9e9ed |
Wed Sep 04 10:50:18 2013 |
8e918b0f0643b1e6a7ae1ebf8fbaaec7 |
Thu Sep 05 12:50:17 2013 |
a22cf98fb397b537de0f9c9f4263b6a5 |
Mon Sep 11 02:47:52 2000 |
b26578721c11bf387ed72b02c1237ed7 |
Fri Sep 06 21:40:39 2013 |
b76628896fb602d02abbcc118a704d30 |
Thu Aug 29 15:30:24 2013 |
c0244295fc0cb98c938bb39bbada2e61 |
Wed Aug 14 09:30:45 2013 |
dd12ec2f1cd96bc8677934abb6a545b0 |
Fri Sep 06 21:40:39 2013 |
fd3231ab2f7829659c471b7369808fab |
Tue Aug 27 09:38:43 2013 |
ffad56a2b4693d98e31ad8c4be86d055 |
Wed Sep 04 13:13:45 2013 |
Таблица md5 исполняемых файловTrojan-Banker.Win32/64.Neverquest и дата их компиляции
Основной функционал данной программы содержится в динамической библиотеке, устанавливаемой в системе с помощью дополнительных программ типа Trojan-Downloader и/или Trojan-Dropper. Данные программы устанавливают файл библиотеки в папку %appdata% под случайным именем с расширением .DAT (например, qevcxcw.dat). Автозапуск данной библиотеки обеспечивается за счет добавления в реестр записи "regsvr32.exe /s [путь к библиотеке]” в ветке “Software\Microsoft\Windows\CurrentVersion\Run”.После этого начинает работу единственный экспорт данной библиотеки с началом инициализации вредоносной программы.
Дизассемблированный код начала вредоносной программы Neverquest
Программа проверяет наличие на компьютере уже запущенной своей копии, если таковой нет, то запускает VNC сервер и посылает первый запрос на сервер управления для получения конфигурационного файла для своей работы.
Конфигурационный файл вредоносной программы Neverquest
Конфигурационный файл зашифрован с помощью ключа, который упакован с использованием библиотеки сжатия
В конфигурационном файле содержится набор кодов для внедрения в браузеры IE и Firefox, а также список сайтов, в страницы которых во время загрузки внедряются соответствующие вредоносные JavaScript.
В этом списке 28 сайтов, среди которых веб-ресурсы крупных международных банков, сайты немецких, итальянских, турецких и индийских банков, а также платежных систем.
Когда пользователь зараженной машины заходит на сайты из списка, вредоносная программа контролирует соединение браузера с сервером. Злоумышленники могут получить логин и пароль, которые вводит пользователь, а также модифицировать содержимое веб-страницы. Все данные, которые пользователь вводит на модифицированной странице, также передаются злоумышленникам.
Веб-страница с внедренным вредоносным содержимым. Все данные, которые пользователь вводит такой странице, передаются злоумышленникам
Получив доступ к счету пользователя в системе онлайн-банкинга, злоумышленники, используя SOCKS сервер и удаленное подключение к зараженному компьютеру через VNC сервер, проводят транзакцию и переводят деньги пользователя на свои счета или - для запутывания следов - на счета других жертв.
Дополнительный функционал позволяет злоумышленникам пополнять список атакуемых банков и разрабатывать коды внедрения для новых сайтов, которые изначально не входили в перечень. Реализуется это следующим образом:
- В конфигурационном файле содержится список слов, при наличии которых на странице в браузере вредоносная программа перехватывает и отправляет злоумышленникам полное содержимое страницы и её URL.
- На основании полученных данных злоумышленники разрабатывают дополнительный код для внедрения на этой странице.
- Новый сайт включается в список атакуемых сайтов, а новый код – в набор вредоносных скриптов в конфигурационном файле.
- Обновленный конфигурационный файл раздаётся все зараженные компьютеры.
Список слов, на основании наличия которых происходит разработка дополнительных кодов внедрения, следующий:
|
|
|
Из всех сайтов, находящихся под атакой данной программы, наибольший интерес представляет сайт fidelity.com, принадлежащий
Распространение
В 2009 году мы обнаружили угрозу, связанную с новым способом распространения вредоносных программ. Эта вредоносная программа получила название
Функционал Neverquest включает сбор данных для доступа к FTP-серверам с помощью следующих программ:
Far | Far2 | CuteFTP | Ipswitch | FlashFXP |
BulletProof FTP | SmartFTP | TurboFTP | FTP Explorer | Frigate3 |
SecureFX | FTPRush | BitKinex | NetDrive | LeechFTP |
FTPGetter | ALFTP | GlobalDownloader | Notepad++ | FTPInfo |
NovaFTP | FTPVoyager | WinFTP | DeluxeFTP | Staff-FTP |
FreshFTP | BlazeFtp | GoFTP | 3D-FTP | EasyFTP |
FTPNow | FTP Now | FTPShell | NexusFile | FastStoneBrowser |
FTP Navigator | FTP Commander | FFFTP | COREFTP | WebSitePublisher |
ClassicFTP | Fling | FTPClient | WebDrive | LinasFTP |
PuTTY | LeapFTP | WindowsCommander | TotalCommander | FileZilla |
ExpanDrive | AceBIT | Robo-FTP | WinZip | Firefox |
Thunderbird | InternetExplorer |
Таблица программ для доступа к FTP-серверам, атакуемым вредоносной программой Neverquest
Информацию, украденную из данных программ, злоумышленники используют для дальнейшего распространения вредоносной программы с использованием эксплойт-пака Neutrino, описанного нашими коллегами, например,
В функционал данной вредоносной программы включает также кражу данных email-клиентов жертвы и сбор данных во время SMTP/POP сессий. Данная информация используется злоумышленниками для рассылки спама с вложенным Trojan-Downloader’ом, устанавливающим Neverquest. Как правило, рассылаются подделки под официальные нотификации различных сервисов. Имена вредоносных вложений при этом могут быть:
- travel-00034.jpg. zip
- travel-00034.sg.67330-2-2-8.jpg.zip
- jpg.zip
- light details_united airlines.pdf.zip
Пример спамового письма, содержащего Trojan-Downloader для установки вредоносной программы Neverquest
В функционал данной вредоносной программы входит также сбор данных для доступа к аккаунтам популярных социальных сервисов, таких как:
|
|
|
Нам не удалось обнаружить распространение данной вредоносной программы через эти сервисы, однако ничего не мешает злоумышленникам начать это делать.
Итак, схема распространения данной вредоносной программы выглядит следующим образом:
Схема распространения вредоносной программы Neverquest
Заключение
Вредоносная программа Neverquest поддерживает практически все способы обхода защиты систем онлайн-банкинга, описанные в нашей предыдущей
В функционал Neverquest встроены модули:
- Модуль для кражи данных, которые пользователь вводит на сайтах онлайн-банков. Кража осуществляется из браузеров IE и Firefox.
- Модуль для внедрения кода в страницы онлайн-банков во время их загрузки в IE или Firefox. Вредоносный JavaScript загружается в код нужной троянцу веб-странички.
- VNC сервер. Удалённое подключение используется злоумышленниками при проведении мошеннической транзакции.
- Сборщик паролей от FTP. Украденные данные используются злоумышленниками для размещения эксплойт-паков на серверах, принадлежащих пользователям зараженных машин.
- Сборщик паролей от аккаунтов электронной почты. Украденные данные используются для рассылки спама с вредоносными вложениями.
- Модуль для сбора данных аккаунтов социальных сервисов. Данные могут быть использованы для распространения ссылок на ранее зараженные ресурсы.
- SOCKS сервер. Используется для анонимного подключения к компьютерам жертвы по VNC при проведении транзакции.
- RemoteShell. Способен выполнять удалённые команды cmd.exe.
Канун Рождества и новогодних праздников — период традиционной активности злоумышленников, ворующих деньги со счетов пользователей. Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам и документов, используемых для открытия и управления счетами, на которые переводятся украденные деньги. Поэтому ближе к концу года нам следует ожидать массовые атаки Neverquest, которые могут привести к финансовым потерям пользователей.
Сообщение на хакерском форуме о покупке доступа к банковским счетам
и документов
В заключение хочется добавить, что после закрытия нескольких уголовных дел, связанных с созданием и распространением вредоносных программ для кражи информации на банковских сайтах, на черном рынке образовалась некая “дыра”, которую стремятся заполнить новые игроки с новыми технологиями и идеями. И вредоносная программа Neverquest является лишь одним из претендентов на лидерство, прежде принадлежавшее таким программам как ZeuS и Carberp.
Для защиты от подобных зловредов необходимо использовать не только стандартный антивирус, но и специальные решения, обеспечивающие
Главная
Методы обнаружения вирусов
Классификация антивирусов
Недостатки
Новости антивирусов
Антивирус Касперского
Антивирус Dr.Web
Антивирус Nod32
Антивирус Panda
Антивирус Avira
Антивирус Avast
Антивирус AVG
Вирусные новости
Горячая лента угроз и предупреждений о вирусной опасности!
Лента уязвимостей
Новости Безопастности
Вирусный Лист
Аналитические статьи
Каталог
Спам в июле 2011 года
Обзор DDoS-атак во втором квартале 2011 года
Спам во втором квартале 2011
Развитие информационных угроз во втором квартале 2011 года
Обзор вирусной активности - июль 2011
Наборы эксплойтов в первой половине 2011 года
Спам в июне 2011 года
Обзор вирусной активности - июнь 2011
Дети онлайн: техника безопасности
TDL4 - Top Bot
Спам в мае 2011 года
Землетрясение в Японии - хронология IT-угроз
Спам в первом квартале 2011
Спам в апреле 2011 года
Развитие информационных угроз в первом квартале 2011 года
Спам в марте 2011 года
«Рекламный» ботнет
Обзор вирусной активности - март 2011
Спам и закон: осеннее противостояние
Мобильная вирусология, часть 4
Планета, захваченная спамерами
MYBIOS. Возможно ли заразить BIOS?
Спам в августе 2011 года
Обзор вирусной активности - август 2011
ZeuS-in-the-Mobile - факты и догадки
Обзор вирусной активности - сентябрь 2011
Спам в сентябре 2011 года
Спам в третьем квартале 2011
Обзор вирусной активности - октябрь 2011
Развитие информационных угроз в третьем квартале 2011 года
Спам в октябре 2011 года
Головы Гидры. Вредоносное ПО для сетевых устройств
Легальные буткиты
Онлайн-платежи - удобно и безопасно
Обзор вирусной активности - ноябрь 2011
Троянцы-вымогатели
Спам в ноябре 2011 года
Stuxnet/Duqu: эволюция драйверов
Спам в декабре 2011 года
Поздравляем, вы выиграли! или Что скрывается за лотереями в интернете
Kaspersky Security Bulletin 2011. Развитие угроз в 2011 году
Kaspersky Security Bulletin. Основная статистика за 2011 год
Kaspersky Security Bulletin. Спам в 2011 году
Спам в январе 2012 года
DDoS-атаки второго полугодия 2011 года
Мобильная вирусология, часть 5
Обзор вирусной активности - февраль 2012
Спам в феврале 2012 года
Спам в марте 2012 года
Обзор вирусной активности, март 2012
Анатомия Flashfake. Часть I
Спам в первом квартале 2012
Спам в апреле 2012 года
Развитие информационных угроз в первом квартале 2012 года
Обзор вирусной активности - апрель 2012
Анатомия Flashfake. Часть II
Спам в мае 2012 года
XPAJ. Исследование буткита под Windows x64
Спам в июне 2012 года
Развитие информационных угроз во втором квартале 2012 года
Спам в июле 2012 года
Спам во втором квартале 2012
География киберпреступлений. Западная Европа и Северная Америка
Спам в августе 2012 года
«Этот сайт может причинить вред вашему компьютеру». Как распознать и предотвратить заражение веб-сайтов
Спам в сентябре 2012 года
Безопасность ключевых систем информационной инфраструктуры: точка доверия
Развитие информационных угроз в третьем квартале 2012 года
Спам в третьем квартале 2012
Спам в октябре 2012
Kaspersky Security Bulletin 2012. Кибероружие
Kaspersky Security Bulletin 2012. Основная статистика за 2012 год
Kaspersky Security Bulletin 2012. Развитие угроз в 2012 году
Спам в ноябре 2012
Информационная безопасность в 2030 году: прежними останутся только люди
Спам в 2012 году
Спам в декабре 2012
Нигерийское наследство ждет вас
Отчет «Лаборатории Касперского»: оценка уровня опасности уязвимостей в ПО
«Операция Абабиль»: итоги
«Медовые ловушки» в интернете
Контроль запуска программ как залог безопасности сети. Часть 1
Контроль запуска программ как залог безопасности сети. Часть 2
Спам в январе 2013
Мобильная вирусология, часть 6
Спам в феврале 2013
Winnti. Это вам не игрушки
Анализ Winnti 1.0
Спам в марте 2013
Spyware. HackingTeam
Спам в первом квартале 2013
Развитие информационных угроз в первом квартале 2013 года
Спам в апреле 2013
Спам в мае 2013
Перенаправления в спаме
Спам в июне 2013
Спам во втором квартале 2013
Развитие информационных угроз во втором квартале 2013 года
Anti-decompiling techniques in malicious Java Applets
The curious case of a CVE-2012-0158 exploit
Spam in Q2 2013
Spam in June 2013
Redirects in Spam
Spam in May 2013
Spam in April 2013
IT Threat Evolution: Q1 2013
Spam in Q1 2013
Spyware. HackingTeam
Spam in March 2013
Spam in February 2013
Mobile Malware Evolution: Part 6
Spam in January 2013
Application Control: the key to a secure network. Part 1
Application Control: the key to a secure network - Part 2
Honey traps on the Internet
Kaspersky Lab report: Evaluating the threat level of software vulnerabilities
Spam in December 2012
Kaspersky Security Bulletin: Spam Evolution 2012
Спам в июле 2013
Как закрыть черную дыру?
DDoS-атаки первого полугодия 2013 года
Операция «Kimsuky»: северокорейская разведдеятельность?
Защита от виртуальных грабителей
Спам в августе 2013
PAC - файл автоконфигурации проблем
Проигрыш обеспечен, или настоящее лицо фальшивой Фортуны
Спам в первом квартале 2014
Спам в марте 2014
Развитие информационных угроз в первом квартале 2014 года
Финансовые киберугрозы в 2013 году. Часть 2: вредоносное ПО
Финансовые киберугрозы в 2013 году. Часть 1: фишинг
BitGuard: система принудительного поиска
Спам в феврале 2014
Мобильные угрозы - 2013
Спам в январе 2014
Угроза из BIOS
Спам-кредиторы: кража данных, троянцы и другие особенности «дешевых» займов
Kaspersky Security Bulletin. Спам в 2013 году
Спам в декабре 2013
Спам в ноябре 2013
Kaspersky Security Bulletin 2013. Развитие угроз в 2013 году
Kaspersky Security Bulletin 2013. Корпоративные угрозы
Kaspersky Security Bulletin 2013. Основная статистика за 2013 год
Kaspersky Security Bulletin 2013. Прогнозы
Новая угроза для онлайн-банка
Спам в апреле 2014
Дети в Сети: формула безопасности
Обманщики в социальных сетях
Многофункциональный DDoS-троянец под Linux
Спам в мае 2014