Методы обнаружения вирусов

Новая угроза для онлайн-банка

18-го июля 2013 года на одном из закрытых форумов злоумышленников появилось следующее сообщение:

 

Его автор предлагал к распространению программу для атаки «около 100 банков» с использованием внедрения дополнительного кода в загружаемые страницы банков, c VNC подключением и дополнительной возможностью атак «любого банка любой страны».

Мы немедленно начали исследование и выяснили, что злоумышленник предлагал к распространению программу Trojan-Banker.Win32/64.Neverquest. Всего к середине ноября в разных странах мира мы зафиксировали несколько тысяч попыток заражений Neverquest. Эта вредоносная программа появилась относительно недавно, и злоумышленники работают с ней еще не в полном объеме. Учитывая возможности Neverquest по самораспространению, число атакованных пользователей может значительно вырасти за небольшой промежуток времени.

Анализ исполняемых файлов

executable md5 Compilation date

0eb690560deb40bec1a5a9f147773d43

Thu Sep 05 12:33:35 2013

212a7ef73af17a131bb02aa704aa1b14

Thu Aug 29 15:30:01 2013

2a9e32e488c3e6d5ba8dc829f88ba31b

Fri Aug 23 12:10:14 2013

385509d00c7f652689a13df0c4142a91

Sat Oct 28 05:37:40 2000

5c6f1704632afbbaa925fa71ebc2f348

Wed Aug 28 10:22:16 2013

61720b34825e28e05c6a85a20dd908c9

Mon Sep 02 16:41:05 2013

79da4f9675b87d261cb1b9cb9c47e70a

Mon Aug 26 14:35:00 2013

808b13ebae56569db0f7f243fab9e9ed

Wed Sep 04 10:50:18 2013

8e918b0f0643b1e6a7ae1ebf8fbaaec7

Thu Sep 05 12:50:17 2013

a22cf98fb397b537de0f9c9f4263b6a5

Mon Sep 11 02:47:52 2000

b26578721c11bf387ed72b02c1237ed7

Fri Sep 06 21:40:39 2013

b76628896fb602d02abbcc118a704d30

Thu Aug 29 15:30:24 2013

c0244295fc0cb98c938bb39bbada2e61

Wed Aug 14 09:30:45 2013

dd12ec2f1cd96bc8677934abb6a545b0

Fri Sep 06 21:40:39 2013

fd3231ab2f7829659c471b7369808fab

Tue Aug 27 09:38:43 2013

ffad56a2b4693d98e31ad8c4be86d055

Wed Sep 04 13:13:45 2013

Таблица md5 исполняемых файловTrojan-Banker.Win32/64.Neverquest и дата их компиляции

Основной функционал данной программы содержится в динамической библиотеке, устанавливаемой в системе с помощью дополнительных программ типа Trojan-Downloader и/или Trojan-Dropper. Данные программы устанавливают файл библиотеки в папку %appdata% под случайным именем с расширением .DAT (например, qevcxcw.dat). Автозапуск данной библиотеки обеспечивается за счет добавления в реестр записи "regsvr32.exe /s [путь к библиотеке]” в ветке “Software\Microsoft\Windows\CurrentVersion\Run”.После этого начинает работу единственный экспорт данной библиотеки с началом инициализации вредоносной программы.

 
Дизассемблированный код начала вредоносной программы Neverquest

Программа проверяет наличие на компьютере уже запущенной своей копии, если таковой нет, то запускает VNC сервер и посылает первый запрос на сервер управления для получения конфигурационного файла для своей работы.

 
Конфигурационный файл вредоносной программы Neverquest

Конфигурационный файл зашифрован с помощью ключа, который упакован с использованием библиотеки сжатия aPLib и передается сервером управления.

В конфигурационном файле содержится набор кодов для внедрения в браузеры IE и Firefox, а также список сайтов, в страницы которых во время загрузки внедряются соответствующие вредоносные JavaScript.

В этом списке 28 сайтов, среди которых веб-ресурсы крупных международных банков, сайты немецких, итальянских, турецких и индийских банков, а также платежных систем.

Когда пользователь зараженной машины заходит на сайты из списка, вредоносная программа контролирует соединение браузера с сервером. Злоумышленники могут получить логин и пароль, которые вводит пользователь, а также модифицировать содержимое веб-страницы. Все данные, которые пользователь вводит на модифицированной странице, также передаются злоумышленникам.

 
Веб-страница с внедренным вредоносным содержимым. Все данные, которые пользователь вводит такой странице, передаются злоумышленникам

Получив доступ к счету пользователя в системе онлайн-банкинга, злоумышленники, используя SOCKS сервер и удаленное подключение к зараженному компьютеру через VNC сервер, проводят транзакцию и переводят деньги пользователя на свои счета или - для запутывания следов - на счета других жертв.

Дополнительный функционал позволяет злоумышленникам пополнять список атакуемых банков и разрабатывать коды внедрения для новых сайтов, которые изначально не входили в перечень. Реализуется это следующим образом:

  1. В конфигурационном файле содержится список слов, при наличии которых на странице в браузере вредоносная программа перехватывает и отправляет злоумышленникам полное содержимое страницы и её URL.
  2. На основании полученных данных злоумышленники разрабатывают дополнительный код для внедрения на этой странице.
  3. Новый сайт включается в список атакуемых сайтов, а новый код – в набор вредоносных скриптов в конфигурационном файле.
  4. Обновленный конфигурационный файл раздаётся все зараженные компьютеры.

Список слов, на основании наличия которых происходит разработка дополнительных кодов внедрения, следующий:

  • availablebalance
  • accountsummary
  • checkingacount
  • saldo
  • cuenta
  • Balance
  • AvailableBalance
  • AccountSummary
  • CheckingAccount
  • Availablebalance
  • CurrentBalance
  • AccountsBalanceFootnote
  • Saldo
  • Cuenta
  • balance
  • BusinessAccounts
  • DepositAcounts
  • AccountBalances
  • CareerBuilder
  • SiteKeyChallengeQuestion

Из всех сайтов, находящихся под атакой данной программы, наибольший интерес представляет сайт fidelity.com, принадлежащий Fidelity Investments – одному из самых крупных фондов взаимных инвестиций в мире. На сайте клиентам предлагается широкий список возможностей управления своими финансами. Это даёт злоумышленникам шанс не только переводить деньги на свои счета, но и играть на фондовых рынках, используя  учетные записи и денежные средства жертв данной вредоносной программы.

Распространение

В 2009 году мы обнаружили угрозу, связанную с новым способом распространения вредоносных программ. Эта вредоносная программа получила название Bredolab, а ботнет, построенный на ней, - Pegel. Способы распространения данной программы оказались настолько удачными, что в начале 2010 года она входила в TOP3 самых распространённых вредоносных программ в интернете. Вредоносная программа Neverquest реализует те же механизмы самораспространения, что и Bredolab.

Функционал Neverquest включает сбор данных для доступа к FTP-серверам с помощью следующих программ:

Far Far2 CuteFTP Ipswitch FlashFXP
BulletProof FTP SmartFTP TurboFTP FTP Explorer Frigate3
SecureFX FTPRush BitKinex NetDrive LeechFTP
FTPGetter ALFTP GlobalDownloader Notepad++  FTPInfo
NovaFTP FTPVoyager WinFTP DeluxeFTP Staff-FTP
FreshFTP BlazeFtp GoFTP 3D-FTP EasyFTP
FTPNow FTP Now FTPShell NexusFile FastStoneBrowser
FTP Navigator FTP Commander FFFTP COREFTP WebSitePublisher
ClassicFTP Fling FTPClient WebDrive LinasFTP
PuTTY LeapFTP WindowsCommander TotalCommander FileZilla
ExpanDrive AceBIT Robo-FTP WinZip Firefox
Thunderbird InternetExplorer      


Таблица программ для доступа к FTP-серверам, атакуемым вредоносной программой Neverquest

Информацию, украденную из данных программ, злоумышленники используют для дальнейшего распространения вредоносной программы с использованием эксплойт-пака Neutrino, описанного нашими коллегами, например, здесь.

В функционал данной вредоносной программы включает также кражу данных email-клиентов жертвы и сбор данных во время SMTP/POP сессий. Данная информация используется злоумышленниками для рассылки спама с вложенным Trojan-Downloader’ом, устанавливающим Neverquest. Как правило, рассылаются подделки под официальные нотификации различных сервисов. Имена вредоносных вложений при этом могут быть:

  • travel-00034.jpg. zip
  • travel-00034.sg.67330-2-2-8.jpg.zip
  • jpg.zip
  • light details_united airlines.pdf.zip

 
Пример спамового письма, содержащего Trojan-Downloader для установки вредоносной программы Neverquest

В функционал данной вредоносной программы входит также сбор данных для доступа к аккаунтам популярных социальных сервисов, таких как:

  • blinkx.com
  • flickr.com
  • yahoo.com
  • google.com
  • skype.com
  • ooyala.com
  • amazonaws.com
  • myspace.com
  • wrproxy.com
  • talltreegames.com 
  • meebo.com
  • poptropica.com
  • tagged.com
  • icomment.com
  • playsushi.com
  • mathxl.com
  • lphbs.com
  • vkontakte.ru
  • trainingpeaks.com
  • yoville.com
  • tubemogul.com
  • farmville.com
  • zynga.com
  • webkinz.com
  • xvideos.com
  • facebook.com
  • live.com
  • ningim.com
  • mortgagenewsdaily.com
  • /wp-admin/admin-ajax.php
  • twitter.com
  • livestream.com
  • brightcove.com
  • hubpages.com
  • fuckbook.com
  • shutterfly.com
  • applicationstat.com
  • espnradio.com
  • webex.com
  • fwmrm.net
  • auditude.com
  • torn.com 

Нам не удалось обнаружить распространение данной вредоносной программы через эти сервисы, однако ничего  не мешает злоумышленникам начать это делать.

Итак, схема распространения данной вредоносной программы выглядит следующим образом:

 
Схема распространения вредоносной программы Neverquest

Заключение

Вредоносная программа Neverquest поддерживает практически все способы обхода защиты систем онлайн-банкинга, описанные в нашей предыдущей статье про атаки на банковские системы: веб-инжект, удаленный доступ к системе, социальную инженерию и т.д.

В функционал Neverquest встроены модули:

  1. Модуль для кражи данных, которые пользователь вводит на сайтах онлайн-банков. Кража осуществляется из браузеров IE и Firefox.
  2. Модуль для внедрения кода в страницы онлайн-банков во время их загрузки в IE или Firefox. Вредоносный JavaScript загружается в код нужной троянцу веб-странички.
  3. VNC сервер. Удалённое подключение используется злоумышленниками при проведении мошеннической транзакции.
  4. Сборщик паролей от FTP. Украденные данные используются злоумышленниками для размещения эксплойт-паков на серверах, принадлежащих пользователям зараженных машин.
  5. Сборщик паролей от аккаунтов электронной почты. Украденные данные используются для рассылки спама с вредоносными вложениями.
  6. Модуль для сбора данных аккаунтов социальных сервисов. Данные могут быть использованы для распространения ссылок на ранее зараженные ресурсы.
  7. SOCKS сервер. Используется для анонимного подключения к компьютерам жертвы по VNC при проведении транзакции.
  8. RemoteShell. Способен выполнять удалённые команды cmd.exe.

Канун Рождества и новогодних праздников — период традиционной активности злоумышленников, ворующих деньги со счетов пользователей. Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам и документов, используемых для открытия и управления счетами, на которые переводятся украденные деньги. Поэтому ближе к концу года нам следует ожидать массовые атаки Neverquest, которые могут привести к финансовым потерям пользователей.

 
Сообщение на хакерском форуме о покупке доступа к банковским счетам
и документов

В заключение хочется добавить, что после закрытия нескольких уголовных дел, связанных с созданием и распространением вредоносных программ для кражи информации на банковских сайтах, на черном рынке образовалась некая “дыра”, которую стремятся заполнить новые игроки с новыми технологиями и идеями. И вредоносная программа Neverquest является лишь одним из претендентов на лидерство, прежде принадлежавшее таким программам как ZeuS и Carberp.

Для защиты от подобных зловредов необходимо использовать не только стандартный антивирус, но и специальные решения, обеспечивающие безопасность транзакций -  в частности, контролирующие запущенный процесс браузера и защищающие его от манипуляций со стороны других приложений.

НОВОЕ НА САЙТЕ

Компания «НОВИВИДЕО» уже более пятнадцати лет представлена на рынке современного оборудования для видеонаблюдения. Именно благодаря большому опыту работы, а также использованию современных технологий, она и может похвастаться огромным количеством довольных […]... Новости Безопастности

16 октября 2017 года

Бэкдорами общепринято величать вредные программы, могущие совершать поступающие от злоумышленников команды так насколько давать им же вероятность несанкционированного управления инфицированным устройством. Аналитики «Доктор Веб» изучили по... Горячая лента угроз и предупреждений о вирусной опасности!

16 октября 2017 года

Бэкдорами общеустановлено именовать вредные программы, могущие выполнять поступающие от злоумышленников команды так как-либо давать им же вероятность несанкционированного управления инфицированным устройством. Аналитики «Доктор Веб» обслед... Вирусные новости

12 октября 2017 года

Компания «Доктор Веб» уже публиковала материя о самых разных смешных артефактах, продающихся в российских интернет-магазинах, точно чу... Горячая лента угроз и предупреждений о вирусной опасности!

3 октября 2017 года

Компания «Доктор Веб» информирует об обновлении Windows-версии плагина Dr.Web для IBM Lotus Domino перед началом версии 11.0.3. Обновление связано с исправлением выявленной ошибки так что актуализацией документации администратора.

... Антивирус Dr.Web

2 октября 2017 года

Компания «Доктор Веб» воображает брошюру «Как раскопать антивирус. способ выбора денег антивирусной защиты». Брошюра адресована обладателям бизнеса так что ИТ-профессионалам, выбирающим надежную антивирусную защиту для собственной комп... Антивирус Dr.Web

29 сентября 2017 года

В сентябре несколько средств массовой информации сообщили о том, что киберпреступники стали активно использовать браузеры пользователей для несанкционированного майнинга (добычи) криптовалют. Наибольшей популярностью у злоумышленников пользуется... Вирусные новости

29 сентября 2017 года

В сентябре машистую слава приобрела группа уязвимостей BlueBorne в стеке протокола Bluetooth, коию выявили знатоки по информационной безопасности. Эти уязвимости дозволяют злодеям принять абсолютный контроль над Bluetooth-совместимыми устройства... Вирусные новости

28 сентября 2017 года

Компания «Доктор Веб» информирует об обновлении ингридиента Dr.Web File System Monitor (11.01.05.09130), драйвера Dr.Web Net Filter for Windows driver (11.1.5.09140), управляющего обслуживания Dr.Web Control Service (11.0.24.09210 та... Антивирус Dr.Web

ЧОП «Талион» работает с юридическими и физическими лицами. Мы обеспечим безопасность ваших квартир и частных домов, предприятий и офисов. Мы сохраним дело всей вашей жизни и имущество. Мы беремся за: […]