Español | English
rss facebook linkedin Twitter

NEVERQUEST EVOLUTION



Neverquest también conocido como “Vawtrak”, es un troyano, que lleva jugando un papel importante desde hace un par de años, y durante los últimos meses, nuestro equipo de investigación ha descubierto una evolución del mismo.

Lo  que persigue Neverquest, es el robo de credenciales, principalmente bancarias. No solo opera con ataques dirigidos al sector financiero, sino que también ataca a otros sectores.


Sus objetivos, están definidos en un fichero de configuración, es  capaz de realizar inyecciones en procesos de Firefox, Internet Explorer, Chrome o inyecciones HTML.

Los cambios que nos encontramos a priori en esta nueva evolución son los siguientes:
  • Encriptación para todos los datos que utiliza (archivos, comunicación..)
  • Hace uso de diferentes tipos de cifrado para cada tipo de datos que maneja, pero en general se basa en un generador de números alegatorios (RNG), que genera diferentes secuencias de números y diferentes algoritmos (basados en combinaciones de xor, sub…) que descifra los datos.
Para el caso de la configuración que descarga desde el C&C, este malware lleva varias capas de cifrado adicionales; Una primera capa basada en el RNG, una segunda capa de compresión con LZMAT, y por último, independientemente para cada bloque de la configuración, vemos otra capa más de cifrado basado en una tabla de sustitución.

En la configuración recibida del servidor aparecen principalmente las inyecciones que el malware va a realizar para robar información al usuario infectado, pero al final de la misma, también aparecen 5 URL´s más. Las 4 primeras son URL´s de módulos, y la última de update. De estas URL´s,  el malware puede descargar módulos adicionales (pueden ser otros malware o pueden ser complementos del propio Neverquest) o “updates”.
Tanto los módulos, como los updates, van cifrados con una capa de cifrado basada en el RNG que comentábamos.

En esta investigación, realizamos una comparativa de ataques en cuanto a países y sectores, con un peso significante en la dirección y evolución del malware del 2016 frente al año 2015; Es relevante destacar que durante su evolución, el principal impacto da lugar a ataques mucho más controlados y dirigidos, etc… ,  dejan de ser el principal objetivo para estos cibercriminales de Neverquest.
 

Gráfica de principales países afectados durante 2016

Consejos para evitar ser víctima de este ciberataque  y cuáles son las medidas de seguridad desde nuestros especialistas de ACSS:

  • Cómo siempre, el uso del sentido común, y evitar cualquier enlace, archivo que te pueda parecer sospechoso o no venga de una fuente fiable en los correos electronicos.
  • Actualizaciones del Sistema Operativo, Software y Sistema Antivirus.
  • Control periodico de los movimientos de tu cuenta bancaria y comprobar que ningún movimiento es extraño, y todos los cargos son conocidos.
  • Desactivar las extensiones por defecto Flash y Java del navegador.

S21sec


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login