El malware Neverquest experimentó una gran renovación este verano

El verano pasado el código del troyano bancario Neverquest troyano de Windows tuvo tantos cambios, que algunos investigadores hasta le pusieron el nombre Neverquest2 a la nueva variación. En los últimos meses, los investigadores de Arbor Networks y otros miembros de la comunidad de especialistas en seguridad informática están observando un proceso lento, pero dirigido de una forma muy específica a la renovación del código del malware. Al parecer, este prolífico troyano bancario se está preparando para lanzar nuevos ataques.

Según los expertos, Neverquest, también conocido como Vawtrak, es heredero del troyano Gozi y en los tres años de su existencia, ayudó a los atacantes a robar millones de dólares de cuentas bancarias de las víctimas infectadas. Durante cierto tiempo Neverquest se propagó activamente mediante el paquete de exploits Neutrino.

La compañía Arbor Networks se prepara para publicar la descripción técnica de Neverquest2, donde afirma que los escritores del virus agregaron nuevos complementos y actualizaron la lista de blancos, que ahora incluye 266 organizaciones. La mayoría de ellas son instituciones financieras, las demás, estructuras gubernamentales, operadores de telefonía móvil, servicios de nómina y agregadores de información pública. Es de destacar que la nueva lista también contiene sitios web comerciales que realizan transacciones con criptodivisas, algo nuevo en Neverquest.

Las principales funciones del programa malicioso siguen siendo las mismas. Una vez en el equipo, espera hasta que el usuario vaya a uno de los sitios de la lista, introduce campos adicionales en el formulario web y roba los datos confidenciales que se introduzca en ellos.

Recordamos que en 2014 se llevaron a cabo arrestos relacionados con el uso de Neverquest para realizar transacciones fraudulentas. Sin embargo, como podemos ver, el troyano está vivo y coleando, y sigue mejorando. Así, hace un mes y medio Neverquest incorporó el algoritmo DGA , que le permite generar un gran número de nombres de dominio que pueden usarse para ponerse en contacto con el centro de administración. Los expertos de Arbor destacaron dos nuevos módulos: uno para conexiones inversas y otro para robar certificados digitales.

El módulo de conexión inversa (bc_32.dll) agrega soporte para el acceso remoto al host infectado a través de un servidor VNC. “El atacante puede conectarse a la computadora infectada, ver el escritorio, obtener acceso a la webcam y explorar el historial del navegador”, explican los investigadores. “Obtiene acceso completo a la PC de la víctima y puede ejecutar comandos arbitrarios, disponibles desde la consola, o interactuar con el administrador de tareas”, concluyen. El acceso remoto también puede utilizarse para instalar el troyano Pony.

El segundo módulo, dg_32.dll, permite encontrar y robar certificados almacenados en el equipo infectado. Según Arbor, este complemento, “utiliza CertOpenSystemStore (), y el API de criptografía vinculado a esta función para conseguir acceso a los almacenes de certificados asociados a las claves privadas, los centros de certificación, etc. Analiza el sistema infectado en busca de los perfiles del navegador, cookies, historial y entradas en el caché del navegador”.

“La muestra más reciente de Neverquest2 es una plataforma nociva modular bien proyectada por profesionales”, constatan los investigadores. “Al parecer, la funcionalidad (de Neverquest2) está ligeramente expandida en comparación con algunas muestras de Neverquest publicadas en 2015. Sin embargo, cambios recientes como la implementación del mecanismo DGA para acceder a los servidores de administración demostraron que esta amenaza aún está en etapa de desarrollo activo”.

Fuentes: Threatpost