Het Russische anti-virusbedrijf Kaspersky Lab waarschuwt voor een nieuw Trojaans paard dat wordt gebruikt voor het leeghalen van online bankrekeningen. De Neverquest banking Trojan werd voor het eerst in juli van dit jaar op een forum voor cybercriminelen aangeboden.
Volgens de ontwikkelaar zou Neverquest in staat zijn om 100 banken aan te vallen, zowel via web-injects als VNC-verbindingen waarmee de criminelen direct toegang tot de computer van het slachtoffer hebben. Web-injects worden gebruikt voor het injecteren van extra velden op de banksite en vragen slachtoffers om allerlei informatie. Halverwege november had Kaspersky Lab al duizenden pogingen tot infectie met Neverquest gedetecteerd.
Analist Sergey Golovanov stelt dat het om een relatief nieuwe dreiging gaat en nog niet ten volste door cybercriminelen wordt benut. De nu ontdekte exemplaren zouden in staat zijn om 28 websites van grote internationale banken aan te vallen, onder andere uit Duitsland, Italië, Turkije en India. Als een gebruiker op een besmette computer één van deze sites bezoekt dan onderschept de malware inloggegevens en wijzigt de inhoud van de inlogpagina.
Zodra de inloggegevens zijn bemachtigd, gebruiken de criminelen een SOCKS- en VNC-server om met de besmette computer verbinding te maken en daar vandaan de frauduleuze transacties te verrichten. Het geld wordt vervolgens naar een eigen rekening overgemaakt, of naar de rekening van andere slachtoffers.
Voor het infecteren van internetgebruikers gebruikt Neverquest dezelfde tactiek als de Bredolab-malware. Het Bredolab-botnet werd in 2010 door de Nationale Recherche opgerold. Op besmette computers zoekt Neverquest naar FTP-inloggegevens. Deze gegevens worden vervolgens gebruikt om kwaadaardige code op de betreffende websites van de FTP-accounts te plaatsen. Deze kwaadaardige code infecteert weer ongepatchte internetgebruikers met Neverquest.
Ook verzamelt Neverquest inloggegevens van e-mailclients en sociale netwerksites en diensten. De gegevens van sociale netwerksites lijken nog niet te worden gebruikt, maar de criminelen gebruiken de e-mail-inloggegevens om e-mails met kwaadaardige bijlagen te versturen, die weer de Neverquest-malware bevatten. Analisten van het Russische anti-virusbedrijf verwachten dat naarmate het einde van het jaar nadert er meer Neverqust-aanvallen zullen plaatsvinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.