È in grado di riconoscere centinaia di siti Internet di home banking e di altri prodotti finanziari.
Dopo aver rubato le credenziali bancarie dell’utente, Neverquest invia i dati al server command and control, da dove gli hacker possono utilizzarle per accedere agli account via Virtual Network Computing(software di controllo in remoto).
Questo Trojan, reso pubblico da Kaspersky Lab a fine 2013, ha già infettato migliaia di computer ma potrebbe fare ancora più danni in quanto è capace di autoreplicarsi con grande rapidità.
Nel 2009, il malware Bredolab, che impiegava le stesse tecniche di diffusione di Neverquest, è stato una vera e propria piaga per gli utenti e, di fatto, è diventato il terzo malware in assoluto più diffuso su Internet.
COME FUNZIONA
Il nome completo del Trojan è: Trojan-Banker.Win32/64.Neverquest
Una volta eseguita la minaccia, essa verifica se il sistema è già infetto e se non trova le copie di se stesso lancia un server VNC e poi invia la prima richiesta al suo server di comando e controllo, al fine di recuperare il suo file di configurazione.
Il file di configurazione contiene un insieme di JavaScript maligni e una lista dei siti web che, una volta lanciati in IE o Firefox, installeranno gli script corrispondenti.
Ci sono 28 siti nella lista, compresi quelli che appartengono alle grandi banche internazionali e sistemi di pagamento da vari paesi, tra cui India, Turchia, Germania e Italia.
Quando uno di questi siti web è visitato, il malware Neverquest controlla la connessione del browser con il server e inietta una pagina di phishing nella sessione.
Tutti i dati inseriti nella pagina maligna compreso il nome, dettagli di carte di pagamento, data di nascita, numero di previdenza sociale, password e le informazioni di contatto manda indietro agli attaccanti.
Una volta aver preso il controllo dell’ account della vittima, gli hacker trasferiscono l’intera somma presente sul conto su un altro account.
I cybercriminali spostano più volte il denaro rubato da un conto all’altro per mescolare le acque e per non essere facilmente rintracciabili dunque il denaro viene "ripulito".
Il malware contiene, inoltre, una funzionalità grazie alla quale può ricercare su Internet delle parole chiave relazionate a una specifica banca.
Se l’utente visita un sito Internet che comprende queste parole chiave, il Trojan si attiva e inizia a intercettare le comunicazioni tra l’utente e il sito e rinvia queste informazioni agli hacker.
Se alla fine risulta essere davvero il sito di una banca, gli hacker aggiungono questa nuova risorsa alla lista delle pagine che Neverquest monitora automaticamente.
L’aggiornamento di questa sorta di “banca dati” viene inviata a tutti i dispositivi infetti attraverso le infrastrutture command and control di Neverquest.
Gli hacker hanno anche la possibilità di entrare in Borsa sfruttando gli account e i soldi delle vittime del malware”.
Neverquest è stato disegnato anche per raccogliere dati quando l’utente del computer infetto visita altri siti di tipo non bancario ma comunque rilevanti per lo scopo come Google, Yahoo, Amazon AWS, Facebook, Twitter, Skype e molto altro.
Nessun commento:
Posta un commento