Neverquest, sostanziosi aggiornamenti durante l’estate

Durante l’estate appena trascorsa, il codice di Neverquest, noto Trojan bancario destinato a colpire l’OS Windows, è stato modificato in maniera davvero considerevole, al punto che alcuni ricercatori hanno addirittura battezzato la nuova variante del malware con il nome di Neverquest2. Da alcuni mesi, i ricercatori di Arbor Networks, ed altri esponenti della community globale degli esperti di sicurezza IT, stanno di fatto osservando un lento, ma costante e ben mirato processo di aggiornamento del Trojan in questione; verosimilmente, questo temibile banker, un tempo particolarmente “prolifico”, si sta preparando a lanciare nuovi attacchi.

Secondo gli esperti, Neverquest, alias Vawtrak, è l’erede del Trojan Gozi; in tre anni di presenza sulla scena del malware, esso ha consentito ai cybercriminali di poter realizzare il furto di milioni di dollari dai conti bancari appartenenti alle vittime dell’infezione informatica. Ricordiamo, poi, che nel recente passato Neverquest è stato attivamente distribuito attraverso l’utilizzo del famigerato exploit pack Neutrino.

Arbor Networks si appresta a pubblicare una dettagliata descrizione tecnica di Neverquest2, nella quale si riferisce che i virus writer hanno aggiunto a tale malware nuovi plugin; i malintenzionati hanno inoltre provveduto ad aggiornare l’elenco dei target presi di mira, il quale comprende, adesso, ben 266 diverse organizzazioni. La maggior parte di queste ultime è rappresentata da banche ed istituzioni operanti nella sfera finanziaria; tra i rimanenti potenziali obiettivi dei malfattori troviamo, poi, agenzie governative, provider di connessioni wireless, servizi di gestione delle retribuzioni ed aggregatori di informazioni pubbliche. È di particolare interesse rilevare come il nuovo elenco dei possibili target comprenda ugualmente alcuni siti commerciali che svolgono operazioni in criptovaluta (Bitcoin); si tratta di una vera e propria novità, per il Trojan Neverquest.

Per contro, le principali funzionalità malevole di cui è provvisto il Trojan-Banker non hanno subito variazioni, rispetto alle release precedenti. In pratica, una volta insediatosi all’interno del computer-vittima, Neverquest attende il momento in cui l’utente andrà a visitare uno dei siti target presenti nel suddetto elenco, e poi inserisce furtivamente – attraverso apposite web injection – vari campi extra sui relativi form presi di mira, allo scopo di carpire i dati sensibili introdotti dalla vittima.

Ricordiamo, a tal proposito, che nel 2014 erano stati effettuati numerosi arresti a seguito dell’utilizzo, da parte di malintenzionati, del Trojan Neverquest per la conduzione di transazioni finanziarie fraudolente. Ad ogni caso, come appare in tutta evidenza, il malware in questione risulta ancora ben “vivo e vegeto”, e continua, tra l’altro, a perfezionarsi sensibilmente. Un mese e mezzo fa, in effetti, Neverquest ha iniziato a far uso di un sofisticato algoritmo DGA, in grado di generare un elevato numero di nomi di dominio, attraverso i quali risulta poi possibile effettuare la connessione con il centro di comando e controllo. Gli esperti di Arbor Networks hanno inoltre evidenziato la presenza di due nuovi moduli nocivi, utilizzati, rispettivamente, per effettuare operazioni di “reverse connection” e per realizzare il furto dei certificati digitali.

Il modulo “backconnect” (bc_32.dll) aggiunge il necessario supporto per eseguire l’accesso da remoto al client infetto, attraverso un server VNC che può essere installato sull’host compromesso. “L’attacker ha quindi la possibilità di connettersi al computer infetto, visualizzare il desktop dell’utente-vittima, ottenere l’accesso alla webcam, esaminare la cronologia del browser, – spiegano i ricercatori. – In pratica, il malintenzionato ottiene il pieno accesso al PC della propria vittima, e sarà quindi in grado di eseguire comandi arbitrari, disponibili tramite la relativa console, oppure potrà interagire con il Task Manager”. L’accesso remoto può essere ugualmente utilizzato, dai cybercriminali, per effettuare l’installazione del Trojan Pony.

Il secondo modulo aggiuntivo, denominato dg_32.dll, consente di ricercare, e poi sottrarre illecitamente, i certificati digitali custoditi sul computer infetto. Questo plugin, secondo Arbor Networks, “per ottenere l’accesso agli store dei certificati associati alle chiavi private, alle varie autorità di certificazione (Certificate Authority, CA), e via dicendo – utilizza CertOpenSystemStore() e le API crittografiche collegate a tale funzione. Esso esegue la scansione del sistema informatico infetto, in cerca dei profili del browser web, dei file cookie, della cronologia del browser e dei record presenti nella cache del programma di navigazione”.

“Il sample più recente del Trojan Neverquest2 è, di fatto, una piattaforma malware modulare molto ben progettata e sviluppata; ci troviamo sicuramente di fronte ad un livello davvero “professionale”, nella scrittura di un software nocivo, – affermano i ricercatori. – (Neverquest2) sembra comunque non contenere funzionalità particolarmente ampliate, rispetto a quanto era stato riscontrato, a suo tempo, riguardo ad alcuni sample di Neverquest rilasciati dai virus writer nel corso del 2015. Tuttavia, i cambiamenti introdotti di recente in tale malware, quali, ad esempio, l’implementazione di un apposito meccanismo DGA per effettuare la connessione con i propri server C&C, evidenziano in maniera netta come tale minaccia IT si trovi tuttora, così come in precedenza, in una fase di sviluppo particolarmente attivo”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *