Neverquest fait peau neuve après l’été

Au cours de cet été, le code du trojan bancaire WindowsNeverquest a été tellement remanié que certains chercheurs ont décidé de baptiser la nouvelle version Neverquest2. Au cours des derniers mois, des chercheurs de chez Arbor Networks et d’autres membres de la communauté de la sécurité de l’information ont observé un processus lent mais déterminé de mise à jour du malware ; selon toute vraisemblance, ce malware bancaire fertile se prépare à de nouvelles attaques.

D’après les témoignages des experts, Neverquest, connu également sous le nom de Vawtrak, est un héritier de Gozi et, au cours de ses trois années d’existence, il a volé des millions de dollars sur les comptes des victimes de l’infection. Il fut un temps où Neverquest était largement diffusé à l’aide du kit d’exploitation Neutrino.

Arbor va diffuser une description technique de Neverquest2 où l’on pourra lire que les auteurs du virus ont ajouté de nouveaux plug-ins et qu’ils ont actualisé la liste des cibles. Elle contient désormais 266 organisations distinctes. Il s’agit pour la plupart d’institutions financières. Le reste est composé de structures gouvernementales, d’opérateurs de téléphonie mobile, de service de gestion de la paie et d’agrégateurs d’informations publiques. On remarquera la présence, dans la nouvelle liste, de sites commerciaux qui réalisent des opérations en cryptodevises. Il s’agit d’une nouveauté pour Neverquest.

La fonctionnalité principale du malware bancaire n’a pratiquement pas changé. Une fois sur l’ordinateur, le malware attend que l’utilisateur accès à un des sites de la liste, insère des champs complémentaires dans le formulaire en ligne et volent les informations confidentielles qui y sont saisies.

Pour rappel, des interpellations liées à l’utilisation de Neverquest pour l’organisation de transactions frauduleuses avaient été réalisées en 2014. Ceci étant dit, comme nous le voyons, le trojan en lui-même est bien vivant et continue de circuler. Ainsi, il y a un mois et demi, Neverquest a fait l’acquisition d’un algorithme DGA qui permet de générer un grand nombre de noms de domaines pour les communications avec le centre d’administration. Les experts d’Arbor ont également attiré l’attention sur deux nouveaux modules : un pour les connexions inversées et l’autre pour le vol de certificats numériques.

Le module back connect (bc_32.dll) prend en charge l’accès à distance au nœud infecté via un serveur VNC. Comme l’expliquent les chercheurs : « L’attaquant peut se connecter à l’ordinateur infecté, consulter le bureau, accéder à la webcam et étudier l’histoire de la navigation sur Internet. Il jouit d’un accès complet à l’ordinateur de la victime et peut exécuter des commandes aléatoires, accessibles via la console, ou interagir avec le gestionnaire de tâches ». L’accès à distance permet également d’installer le trojan Pony.

Le deuxième module, dg_32.dll, permet de rechercher et de voler les certificats enregistrés sur l’ordinateur infecté. D’après Arbor, ce plug-in « utilise CertOpenSystemStore() et les API de chiffrement liées à cette fonction pour accéder aux stockages de certificats associés aux clés privées, aux centres de certification, etc. Il analyse le système infecté à la recherche des profils du navigateur, des cookies, de l’historique du navigateur et des entrées dans le cache du navigateur ».

« La version la plus récente Neverquest2 est une plateforme malveillante modulaire bien planifiée et d’un niveau professionnel. D’après ce que l’on sait, les fonctions (de Neverquest2) sont un peu plus élargies par rapport à certains échantillons de Neverquest de 2015. Toutefois, les modifications récentes, comme la mise en œuvre d’un mécanisme DGA pour communiquer avec les serveurs de commande, montrent que cette menace est toujours en phase de développement » constatent les chercheurs.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *