Infos

Neverquest fait peau neuve après l’été

Au cours de cet été, le code du trojan bancaire WindowsNeverquest a été tellement remanié que certains chercheurs ont décidé de baptiser la nouvelle version Neverquest2. Au cours des derniers mois, des chercheurs de chez Arbor Networks et d’autres membres de la communauté de la sécurité de l’information ont observé un processus lent mais déterminé de mise à jour du malware ; selon toute vraisemblance, ce malware bancaire fertile se prépare à de nouvelles attaques.

D’après les témoignages des experts, Neverquest, connu également sous le nom de Vawtrak, est un héritier de Gozi et, au cours de ses trois années d’existence, il a volé des millions de dollars sur les comptes des victimes de l’infection. Il fut un temps où Neverquest était largement diffusé à l’aide du kit d’exploitation Neutrino.

Arbor va diffuser une description technique de Neverquest2 où l’on pourra lire que les auteurs du virus ont ajouté de nouveaux plug-ins et qu’ils ont actualisé la liste des cibles. Elle contient désormais 266 organisations distinctes. Il s’agit pour la plupart d’institutions financières. Le reste est composé de structures gouvernementales, d’opérateurs de téléphonie mobile, de service de gestion de la paie et d’agrégateurs d’informations publiques. On remarquera la présence, dans la nouvelle liste, de sites commerciaux qui réalisent des opérations en cryptodevises. Il s’agit d’une nouveauté pour Neverquest.

La fonctionnalité principale du malware bancaire n’a pratiquement pas changé. Une fois sur l’ordinateur, le malware attend que l’utilisateur accès à un des sites de la liste, insère des champs complémentaires dans le formulaire en ligne et volent les informations confidentielles qui y sont saisies.

Pour rappel, des interpellations liées à l’utilisation de Neverquest pour l’organisation de transactions frauduleuses avaient été réalisées en 2014. Ceci étant dit, comme nous le voyons, le trojan en lui-même est bien vivant et continue de circuler. Ainsi, il y a un mois et demi, Neverquest a fait l’acquisition d’un algorithme DGA qui permet de générer un grand nombre de noms de domaines pour les communications avec le centre d’administration. Les experts d’Arbor ont également attiré l’attention sur deux nouveaux modules : un pour les connexions inversées et l’autre pour le vol de certificats numériques.

Le module back connect (bc_32.dll) prend en charge l’accès à distance au nœud infecté via un serveur VNC. Comme l’expliquent les chercheurs : « L’attaquant peut se connecter à l’ordinateur infecté, consulter le bureau, accéder à la webcam et étudier l’histoire de la navigation sur Internet. Il jouit d’un accès complet à l’ordinateur de la victime et peut exécuter des commandes aléatoires, accessibles via la console, ou interagir avec le gestionnaire de tâches ». L’accès à distance permet également d’installer le trojan Pony.

Le deuxième module, dg_32.dll, permet de rechercher et de voler les certificats enregistrés sur l’ordinateur infecté. D’après Arbor, ce plug-in « utilise CertOpenSystemStore() et les API de chiffrement liées à cette fonction pour accéder aux stockages de certificats associés aux clés privées, aux centres de certification, etc. Il analyse le système infecté à la recherche des profils du navigateur, des cookies, de l’historique du navigateur et des entrées dans le cache du navigateur ».

« La version la plus récente Neverquest2 est une plateforme malveillante modulaire bien planifiée et d’un niveau professionnel. D’après ce que l’on sait, les fonctions (de Neverquest2) sont un peu plus élargies par rapport à certains échantillons de Neverquest de 2015. Toutefois, les modifications récentes, comme la mise en œuvre d’un mécanisme DGA pour communiquer avec les serveurs de commande, montrent que cette menace est toujours en phase de développement » constatent les chercheurs.

Fonte: Threatpost

Neverquest fait peau neuve après l’été

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception