Новая угроза для онлайн-банка

18-го июля 2013 года на одном из закрытых форумов злоумышленников появилось следующее сообщение:

Его автор предлагал к распространению программу для атаки «около 100 банков» с использованием внедрения дополнительного кода в загружаемые страницы банков, c VNC подключением и дополнительной возможностью атак «любого банка любой страны».

Мы немедленно начали исследование и выяснили, что злоумышленник предлагал к распространению программу Trojan-Banker.Win32/64.Neverquest. Всего к середине ноября в разных странах мира мы зафиксировали несколько тысяч попыток заражений Neverquest. Эта вредоносная программа появилась относительно недавно, и злоумышленники работают с ней еще не в полном объеме. Учитывая возможности Neverquest по самораспространению, число атакованных пользователей может значительно вырасти за небольшой промежуток времени.

Анализ исполняемых файлов

Таблица md5 исполняемых файловTrojan-Banker.Win32/64.Neverquest и дата их компиляции

Основной функционал данной программы содержится в динамической библиотеке, устанавливаемой в системе с помощью дополнительных программ типа Trojan-Downloader и/или Trojan-Dropper. Данные программы устанавливают файл библиотеки в папку %appdata% под случайным именем с расширением .DAT (например, qevcxcw.dat). Автозапуск данной библиотеки обеспечивается за счет добавления в реестр записи «regsvr32.exe /s [путь к библиотеке]» в ветке «Software\Microsoft\Windows\CurrentVersion\Run».После этого начинает работу единственный экспорт данной библиотеки с началом инициализации вредоносной программы.

Дизассемблированный код начала вредоносной программы Neverquest

Программа проверяет наличие на компьютере уже запущенной своей копии, если таковой нет, то запускает VNC сервер и посылает первый запрос на сервер управления для получения конфигурационного файла для своей работы.

Конфигурационный файл вредоносной программы Neverquest

Конфигурационный файл зашифрован с помощью ключа, который упакован с использованием библиотеки сжатия aPLib и передается сервером управления.

В конфигурационном файле содержится набор кодов для внедрения в браузеры IE и Firefox, а также список сайтов, в страницы которых во время загрузки внедряются соответствующие вредоносные JavaScript.

В этом списке 28 сайтов, среди которых веб-ресурсы крупных международных банков, сайты немецких, итальянских, турецких и индийских банков, а также платежных систем.

Когда пользователь зараженной машины заходит на сайты из списка, вредоносная программа контролирует соединение браузера с сервером. Злоумышленники могут получить логин и пароль, которые вводит пользователь, а также модифицировать содержимое веб-страницы. Все данные, которые пользователь вводит на модифицированной странице, также передаются злоумышленникам.

Веб-страница с внедренным вредоносным содержимым. Все данные, которые пользователь вводит такой странице, передаются злоумышленникам

Получив доступ к счету пользователя в системе онлайн-банкинга, злоумышленники, используя SOCKS сервер и удаленное подключение к зараженному компьютеру через VNC сервер, проводят транзакцию и переводят деньги пользователя на свои счета или — для запутывания следов — на счета других жертв.

Дополнительный функционал позволяет злоумышленникам пополнять список атакуемых банков и разрабатывать коды внедрения для новых сайтов, которые изначально не входили в перечень. Реализуется это следующим образом:

1. В конфигурационном файле содержится список слов, при наличии которых на странице в браузере вредоносная программа перехватывает и отправляет злоумышленникам полное содержимое страницы и её URL.
2. На основании полученных данных злоумышленники разрабатывают дополнительный код для внедрения на этой странице.
3. Новый сайт включается в список атакуемых сайтов, а новый код – в набор вредоносных скриптов в конфигурационном файле.
4. Обновленный конфигурационный файл раздаётся все зараженные компьютеры.

Список слов, на основании наличия которых происходит разработка дополнительных кодов внедрения, следующий:

Из всех сайтов, находящихся под атакой данной программы, наибольший интерес представляет сайт fidelity.com, принадлежащий Fidelity Investments – одному из самых крупных фондов взаимных инвестиций в мире. На сайте клиентам предлагается широкий список возможностей управления своими финансами. Это даёт злоумышленникам шанс не только переводить деньги на свои счета, но и играть на фондовых рынках, используя  учетные записи и денежные средства жертв данной вредоносной программы.

Распространение

В 2009 году мы обнаружили угрозу, связанную с новым способом распространения вредоносных программ. Эта вредоносная программа получила название Bredolab, а ботнет, построенный на ней, — Pegel. Способы распространения данной программы оказались настолько удачными, что в начале 2010 года она входила в TOP3 самых распространённых вредоносных программ в интернете. Вредоносная программа Neverquest реализует те же механизмы самораспространения, что и Bredolab.

Функционал Neverquest включает сбор данных для доступа к FTP-серверам с помощью следующих программ:

Таблица программ для доступа к FTP-серверам, атакуемым вредоносной программой Neverquest

Информацию, украденную из данных программ, злоумышленники используют для дальнейшего распространения вредоносной программы с использованием эксплойт-пака Neutrino, описанного нашими коллегами, например, здесь.

В функционал данной вредоносной программы включает также кражу данных email-клиентов жертвы и сбор данных во время SMTP/POP сессий. Данная информация используется злоумышленниками для рассылки спама с вложенным Trojan-Downloader’ом, устанавливающим Neverquest. Как правило, рассылаются подделки под официальные нотификации различных сервисов. Имена вредоносных вложений при этом могут быть:

• travel-00034.jpg. zip
• travel-00034.sg.67330-2-2-8.jpg.zip
• jpg.zip
• light details_united airlines.pdf.zip

Пример спамового письма, содержащего Trojan-Downloader для установки вредоносной программы Neverquest

В функционал данной вредоносной программы входит также сбор данных для доступа к аккаунтам популярных социальных сервисов, таких как:

Нам не удалось обнаружить распространение данной вредоносной программы через эти сервисы, однако ничего  не мешает злоумышленникам начать это делать.

Итак, схема распространения данной вредоносной программы выглядит следующим образом:

Схема распространения вредоносной программы Neverquest

Заключение

Вредоносная программа Neverquest поддерживает практически все способы обхода защиты систем онлайн-банкинга, описанные в нашей предыдущей статье про атаки на банковские системы: веб-инжект, удаленный доступ к системе, социальную инженерию и т.д.

В функционал Neverquest встроены модули:

1. Модуль для кражи данных, которые пользователь вводит на сайтах онлайн-банков. Кража осуществляется из браузеров IE и Firefox.
2. Модуль для внедрения кода в страницы онлайн-банков во время их загрузки в IE или Firefox. Вредоносный JavaScript загружается в код нужной троянцу веб-странички.
3. VNC сервер. Удалённое подключение используется злоумышленниками при проведении мошеннической транзакции.
4. Сборщик паролей от FTP. Украденные данные используются злоумышленниками для размещения эксплойт-паков на серверах, принадлежащих пользователям зараженных машин.
5. Сборщик паролей от аккаунтов электронной почты. Украденные данные используются для рассылки спама с вредоносными вложениями.
6. Модуль для сбора данных аккаунтов социальных сервисов. Данные могут быть использованы для распространения ссылок на ранее зараженные ресурсы.
7. SOCKS сервер. Используется для анонимного подключения к компьютерам жертвы по VNC при проведении транзакции.
8. RemoteShell. Способен выполнять удалённые команды cmd.exe.

Канун Рождества и новогодних праздников — период традиционной активности злоумышленников, ворующих деньги со счетов пользователей. Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам и документов, используемых для открытия и управления счетами, на которые переводятся украденные деньги. Поэтому ближе к концу года нам следует ожидать массовые атаки Neverquest, которые могут привести к финансовым потерям пользователей.

Сообщение на хакерском форуме о покупке доступа к банковским счетам
и документов

В заключение хочется добавить, что после закрытия нескольких уголовных дел, связанных с созданием и распространением вредоносных программ для кражи информации на банковских сайтах, на черном рынке образовалась некая «дыра», которую стремятся заполнить новые игроки с новыми технологиями и идеями. И вредоносная программа Neverquest является лишь одним из претендентов на лидерство, прежде принадлежавшее таким программам как ZeuS и Carberp.

Для защиты от подобных зловредов необходимо использовать не только стандартный антивирус, но и специальные решения, обеспечивающие безопасность транзакций —  в частности, контролирующие запущенный процесс браузера и защищающие его от манипуляций со стороны других приложений.