Tag Archives: banking trojan

Black marketed Windows banking & POS Trojan Minerva turns in-the-wild

The path from the creation of malicious program to its delivery onto victims’ computers is long nowadays and involves many different players with the same goal – to make a financial gain. Malware authors usually offer their software to cyber criminals who in turn distribute it via underground forums. This is the how they keep their […]

?????????????????????????? Neverquest ?????????

最近、オンラインバンキングを狙う新しいトロイの木馬のことがメディアで報じられています。このトロイの木馬は、報道では Neverquest と呼ばれています。コンピュータが Neverquest に感染すると、特定のブラウザでオンラインバンキングの Web サイトを開いたときにコンテンツが改ざんされ、サイトに不正なフォームがインジェクトされます。そうなると、攻撃者はユーザーからログイン情報を盗み出せるようになり、さらには VNC(Virtual Network Computing)サーバーを利用して、侵入先のコンピュータを制御できるようにもなります。Neverquest は自身を複製するために、ログイン情報を盗み出して Neverquest ドロッパーをスパムで送りつけるか、FTP サーバーにアクセスして資格情報を取得したうえで Neutrino 悪用ツールキットによってマルウェアを拡散するか、またはソーシャルネットワークのログイン情報を取得して侵入先の Web サイトへのリンクを拡散します。
 
シマンテックがトロイの木馬 Neverquest を解析したところ、これはシマンテックが Snifula として検出するマルウェアグループの進化形であることがわかりました。Snifula が初めて出現したのは 2006 年のことですが、Neverquest のコードを解析した結果、Snifula グループの古いサンプル(Backdoor.Snifula.D)との類似点が確認されたのです。また、Snifula によって以前に使われていたことが判明しているネットワークのインフラは、Neverquest と密接に関係があることも確認されています。この新しい脅威に対しては、2013 年 4 月中頃に初めて確認されたときから、さまざまな汎用検出名ですでに保護対策が実施されています。その後、検出定義を分類化したので、現在この脅威は Trojan.Snifula として検出されます。
 
類似点
前述したように、Trojan.Snifula(通称 Neverquest)のコードには、Snifula グループの古いサンプルとの類似点が認められます。2 つの脅威の実行可能ファイルは、構造と機能こそ異なっているものの独特なコードの一部を共有しており、そこに両者の関連性が見て取れます。たとえば以下の画像を見ると、8 バイトのデータをネットワーク上に送信するコードがあり、そのうち最初の 4 バイトに「26A6E848」という特殊なマーカーが含まれていることがわかります。
 
figure1_5.png
図 1. Trojan.Snifula(Neverquest)でネットワークトラフィックを送信するコード
 
figure2_2.png
図 2. Backdoor.Snifula.D で使われている図 1 と同じコード
 
コードはほぼ同一で、マーカーも共通です。つまり、このコードは一般に入手できるソースから採用されたものではないことになります。もちろん類似点はこれだけではなく、ほかにも多くの共通点を見出すことができます。
 
figure3_2.png
図 3. Trojan.Snifula(Neverquest)で現在のプロセス ID を記録するコード
 
figure4_1.png
図 4. Backdoor.Snifula.D の同じコード
 
このコードは、悪質なプロセス ID を現在時刻とともにログに記録します。コードも文字列も 2 つの脅威で同一であり、CRC アルゴリズムと Aplib アルゴリズム、そしていくつかの共通の文字列が使われています。
 
コマンド & コントロールのインフラ
シマンテックは、Trojan.Snifula(Neverquest)で使われているコマンド & コントロール(C&C)ネットワークのインフラを調べて、両者の間に関連性の手掛かりがあることも解明しています。Trojan.Snifula は、C&C サーバーとして IP アドレス 195.191.56.245 を使っていました。その IP アドレスでホストされていることがわかっているドメインは 2 つしかなく、その 1 つが FyXqgFxUmihXClZo.org です。このドメインは Aster Ltd が所有していることがわかっており、Aster Ltd が所有しているドメインは、以下の 26 個であることも確認されています。
  • accman.com.tw
  • afg.com.tw
  • amosw.com.tw
  • aster.net
  • asterdon.ru
  • asterltd.com
  • astervent.ru
  • bestsid.com.tw
  • countdown.com.tw
  • durpal.com.tw
  • facestat.com.tw
  • fforward.com.tw
  • fyxqgfxumihxclzo.org
  • geobiz.net
  • makumazna.com.tw
  • maskima.com.tw
  • maxward.com.tw
  • miison.com.tw
  • mssa.com.tw
  • parti.com.tw
  • pluss.com.tw
  • sparkys3.com
  • sparkys3.net
  • tdaster.ru
  • thehomeofficecatalogue.net
  • thehomeofficecatalogue.org
 
Aster Ltd のドメインのうち Pluss.com.tw と Countdown.com.tw は、IP アドレス 195.210.47.173 でホストされています。シマンテックは 2013 年の 2 月と 3 月に、Backdoor.Snifula.D で使われたアクティブな C&C サーバーとこの IP アドレスとの関連性を特定しています。Sparkys3.net や Facestat.com.tw など、Aster Ltd が所有するその他のドメインは、IP アドレス 195.137.188.59 でホストされており、これも Trojan.Snifula の C&C サーバーが使う IP アドレスとして確認されているものです。
 
Snifula グループ
シマンテックは、過去数年間で Snifula グループのさまざまな新種を確認しています。今回の Trojan.Snifula は、さらに高度な技術を利用して成長しており、情報を盗み出しますが、その出現は Snifula グループの歴史上、予測された進化です。Snifula グループが何年も掛けて進化し成長してきたことから、このマルウェアが今すぐ脅威を取り巻く世界から姿を消すとは考えられません。
 
この脅威から保護するために、シマンテックは以下の侵入防止システム(IPS)シグネチャを提供しています。
  • System Infected: Trojan.Snifula Activity
 
シマンテックは、この脅威に対して最善の保護対策を提供できるように、今後も Snifula グループの監視を続けます。このような攻撃から保護するために、ノートン インターネットセキュリティSymantec Endpoint Protection を使用することをお勧めします。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Dangerous New Banking Trojan Neverquest Is an Evolution of an Older Threat

There has been recent media coverage around a new online banking Trojan, publicly known as Neverquest. Once Neverquest infects a computer, the malware can modify content on banking websites opened in certain Internet browsers and can inject rogue forms…

Fallout from Nuclear Pack exploit kit highly toxic for Windows machines

In recent days, the avast! Virus Lab has observed a high activity of malware distributed through exploit kits. Most cases of infection are small websites which usually provide adult entertainment, but there was also news about one of the top 300 visited websites being infected. Infection chains ended dropping a final payload in a form […]

A report from RSA Conference Europe 2013

      No Comments on A report from RSA Conference Europe 2013

In today’s world where malware evolves and develops rapidly, sharing security information is the key element for success. Companies which ignore this fact  sooner of later suffer from the consequences of their bad decision. Malware researchers from all over the world regularly meet at various IT security conferences, where they learn from each other how […]

Phishing Attack Replaces Android Banking Apps With Malware

Mobile devices are also increasingly being used to manage a critical and important asset for all of us: our money. According to the Federal Reserve Board report “Consumers and Mobile Financial Services 2013,” in the United States “48 percent of smartphone owners have used mobile banking in the past 12 months, up from 42 percent Read more…

Banker Omnia Vincit – A tale of signed Brazilian bankers

Let us present the long-term analysis of malware which was designed to steal credentials from more than 25 largest banking and payment systems in Brazil. The unique features of this banking malware include the usage of valid digital certificates, 3 years of evolution and stealing credentials from e-commerce admin pages. This feature opens doors for […]

Android Banking Trojans Target Italy and Thailand

A very profitable line for mobile malware developers is Android banking Trojans, which infect phones and steal passwords and other data when victims log onto their online bank accounts. One recent trend is Android malware that attacks users in specific countries, such as South Korea and India. We have already seen this type of malware Read more…