Arbor : résultats de la surveillance de Neverquest pour le mois de mars

Au cours de 2 semaines et demi de surveillance de l’activité de Neverquest, les chercheurs de chez Arbor Networks ont récolté plus de 6 670 exemplaires du malware bancaire, ont découvert 609 centres de commande et ont dénombré 50 campagnes malveillantes différentes qui ont utilisés 699 injections Web uniques. Les experts ont également intercepté le trafic sur plusieurs domaines de commande de Neverquest via la technique du sinkhole et ont pu ainsi obtenir une idée de la répartition géographique des victimes et des cibles du malware.

Le Trojan bancaire Neverquest, connu également sous le nom de Vawtrak, est apparu il y a environ deux ans. Il se charge dans le système à l’aide de downloaders et de droppers qui sont généralement diffusés à l’aide de kits d’exploitation via des messages non sollicités ou des liens malveillants publiés sur des réseaux sociaux. Neverquest utilise une sélection impressionnante d’injections Web afin de réaliser des attaques d’homme du milieu en vue d’accéder aux comptes en banque des victimes et d’intercepter les codes de transaction à usage unique. Ce Trojan est capable de voler les données dans les clients de messagerie, les mots de passe FTP ainsi que les identifiants stockés dans les navigateurs. Ceux-ci sont utilisés par la suite dans le cadre d’une nouvelle propagation. Il peut intercepter le signal vidéo et réaliser des captures d’écran, voler des certificats et des cookies, exécuter des commandes, télécharger des mises à jour, etc. Le malware permet également à ses opérateurs d’accéder à distance à l’ordinateur infecté via VPN et le proxy SOCKS.

Pour maintenir un malware aussi polyvalent en vie, les individus malintentionnés le perfectionnent en permanence, élargissent son spectre de cibles et sa liste de domaines de commande, ainsi que l’arsenal qu’il utilise pour se protéger. Ainsi, une analyse récente d’un des échantillons du Trojan bancaire a démontré que celui-ci utilisait plusieurs couches d’obfuscation ; une autre version actuelle de Neverquest a démontré qu’elle était capable de télécharger directement des mises à jour codées dans des favicons depuis le réseau Tor. D’après les informations d’Arbor, de nouvelles versions du Trojan bancaire apparaissent en moyenne une fois par mois.

Neverquest, dans sa forme actuelle, n’attaque pas seulement les utilisateurs de services de banque électronique. Il vise également les adeptes de jeux en ligne, les clients des magasins en ligne ou les utilisateurs des réseaux sociaux. D’après les données d’Arbor, à la fin du mois de mars, le malware s’intéressait à des sites et des services de 25 pays. La majorité des cibles (adresses IP diffusées dans les injections Web) se trouvait aux Etats-Unis (230). La popularité des services américains auprès des individus malintentionnés est confirmée par les statistiques d’Arbor sur les campagnes individuelles qui exploitent Neverquest : les auteurs de 45 de ces 50 "projets" individuels s’intéressaient, entre autres, à des comptes utilisateur américains. Ce Trojan bancaire s’est également intéressé dans de nombreux cas à des sites britanniques (36 campagnes uniques) et à des ressources en Allemagne et aux Pays-Bas (33 chacun).

Les chercheurs ont remarqué un point très intéressant : différentes campagnes Neverquest visaient parfois un seul et même pays. Il est tout à fait concevable que les auteurs de ces attaques ont tout simplement utilisé un fournisseur de "malware en tant que service" et qu’ils ont utilisé le kit avec les paramètres par défaut après avoir obtenu leur ID d’opération afin de simplifier le suivi des résultats.

La surveillance continue du trafic pendant un mois sur de nombreux domaines de commande de Neverquest a permis à Arbor d’identifier près de 64 500 victimes (adresses IP), avec de grands foyers d’infections en Grande-Bretagne, aux Etats-Unis et au Japon. A ce propos, la police de Tokyo a publié récemment sa propre analyse de la population de Neverquest. Avec l’aide d’une société de sécurité informatique, les cyberpoliciers locaux ont réussi à substituer un des centres de commande du Trojan bancaire ; de février à mars, ils ont compté 82 000 ordinateurs infectés qui tentaient d’envoyer des données à ce centre de commande. Parmi ceux-ci, près de 44 000 étaient enregistrés au Japon.š

http://www.arbornetworks.com/asert/2015/04/neverquest-a-global-threat-targeting-financials/

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *