Stručnjaci upozoravaju korisnike e-bankinga na novu pretnju, banakarskog Trojanca Neverquest

Opisi virusa, 27.11.2013, 08:22 AM

Novi trojanski program koji cilja na korisnike online finansijskih servisa može se raširiti veoma brzo u narednim mesecima, upozorili su stručnjaci Kaspersky Lab-a.

Trojanac „Neverquest“ (Trojan-Banker.Win32/64) koji je prvi put spomenut u julu na jednom hakerskom forumu zavorenog tipa do sredine novembra pokušao je da inficira na hiljade računara širom sveta. Reč je o relativno novom malveru čiji se kapaciteti još uvek ne koriste u potpunosti.

Međutim, s obzirom da malver ima integrisane mehanizme za samoreplikaciju, broj napada na korisnike mogao bi značajno da poraste u veoma krakom vremenskom periodu.

Neverquest ima sve što i većina drugih bankarskih Trojanaca. On može da menja sadržaj web sajtova koji se otvaraju u Internet Explorer-u ili Firefox-u i da ubacuje lažne online formulare u njih, da krade korisnička imena i lozinke, ali i druge podatke koje žrtve ostavljaju na ubačenim fišing stranicama. Malver takođe obezbeđuje napadaču daljinsku kontrolu nad zaraženim računarom koristeći VNC (Virtual Network Computing).

Međutim, Trojanac ima i neke svoje osobenosti.

Njegova podrazumevana konfiguracija definiše 28 ciljanih web sajtova velikih međunarodnih banaka kao i popularnih online platnih servisa. Pored tako definisanih meta, malver prati i koje web sajtove korisnici zaraženih računara posećuju. Kada identifikuje određene ključne reči kao što su "saldo", "provera računa" i "pregled računa", prikupljene podatke o sadržaju web sajta kao i njegov URL malver šalje napadačima a oni te podatke koriste da bi identifikovali nove sajtove banaka i prilagodili malver za napade na njih.

Kada napadači imaju u rukama podatke koji su im potrebni za pristup računu na web sajtu, oni koriste proxy server da bi se povezali sa računarom korisnika preko VNC i direktno pristupili računu. Time se mogu zaobići neki zaštitni mehanizmi web sajtova koji treba da spreče neovlašćene aktivnosti.

Neverquest krade i FTP kredencijale koje napadači potom koriste za infekciju web sajtova Neutrino paketom exploita, koji iskorišćava ranjivosti u dodacima browser-a da bi instalirao malver Neverquest na računarima korisnika koji posećuju te sajtove.

Trojanac takođe krade SMTP (Simple Mail Transfer Protocol) i POP (Post Office Protocol) kredencijale iz email klijenata i šalje ih napadačima tako da ih oni mogu koristiti za slanje spam emailova sa malicioznim prilozima. Ovi emailovi obično izgledaju kao zvanična obaveštenja različitih servisa.

Sa zaraženih računara Neverquest krade i korisnička imena i lozinke za naloge na društvenim mrežama i chat servisima. Kompromitovani nalozi se mogu iskoristiti za slanje linkova za zaražene web sajtove sa kojih se distribuira Neverquest i tako ulazimo u začarani krug. Ipak, treba napomenuti da kriminalci još uvek ne koriste ovu mogućnost, ili bar nema dokaza da je ovaj kapacitet malvera do sada iskorišćen.

U Kaspersky Lab-u predviđaju masovne napade do kraja ove godine, što bi moglo rezultirati značajnim finansijskim gubicima korisnika koji upadnu u zamku malvera Neverquest.

Više tehničkih detalja o ovome možete naći na blogu kompanije Kaspersky Lab, Securelist.com.