Dalla fine dell'anno e' stato identificato un nuovo malware molto insidioso capace di rubare i dati degli account bancari e di trasferire fondi su conti esterni
Neverquest è un virus specifico che, all'interno del proprio codice, “riconosce” un centinano di banking online (fra cui alcune italiane) e quando un utente infetto accede ad uno dei siti bancari, il trojan reagisce attivandosi cercando di rubare le credenziali alle proprie vittime. Il virus diffonde e si replica in automatico attraverso i social network come Facebook, email e trasferimento di file.
Trasmissione dei dati rubati attraverso Internet
Una volta rubate le credenziali, Neverquest inoltra i dati ad un server di comando e controllo. Una volta archiviati i dati, gli attaccanti possono utilizzare le credenziali per accedere ai conti interessati tramite il Virtual Network Computing ( VNC ). VNC è in pratica un sistema desktop condiviso: attraverso Internet i criminali utilizzano lo stesso computer della vittima (con comandi remoti) per accedere alla banca online ed eseguire il furto. Il fatto che venga usato lo stesso computer della vittima rende del tutto impossibile per la banca distinguere le operazioni di utenti legittimi da quelle dei criminali.
Kaspersky Lab ha dato notizia che ormai questo pericoloso trojan ha infettato migliaia di utenti/macchine, ma, come spiega l'esperto di malware Sergey Golovanov, ha il potenziale per fare molto più danni grazie ad alcune caratteristiche di auto-replicazione e mutazione. Neverquest ricalca il comportamento dei uno dei malware più famosi del passato, Bredolab, che sarà poi riconosciuto come il terzo malware più diffuso su Internet, da sempre.
Quando un utente con il Pc infetto visita uno dei siti bancari inseriti nella lista del malware, si attiva la connessione del browser con il server esterno che cattura le credenziali. I criminali informatici da quel momento possono ottenere username e password inseriti dall'utente e modificare il contenuto della pagina web che viene visitata. Tutti i dati inseriti dall'utente verranno inseriti sul sito modificato e trasmesso ai criminali.
Una volta che l'attaccante ha il controllo di un conto bancario, può svuotare completamente l'account finanziario sotto il suo controllo sempre tramite il Pc della vittima stessa. In molti casi i criminali trasferiscono i soldi in un altro conto bancario di una vittima diversa, poi un altro trasferimento in un altro account compromesso e così via più volte, prima di trasferire il denaro nel proprio conto bancario per appropriarsene. Muovendo più volte il denaro rubato, attraverso una serie di conti di persone inconsapevoli, riescono a rendere le loro attività molto più difficili da rintracciare.
Neverquest è un malware che viene anche messo in vendita sui forum di cracker. Per ora sembra che riesca a funzionare solo con i browser di Internet Explorer e Mozilla Firefox, ma i creatori di Neverquest si vantano che possono modificarlo in ogni momento per attaccare “qualsiasi banca in qualsiasi paese “.
Il malware contiene anche una funzione che identifica le specifiche parole chiave correlate alle banche mentre l'utente infetto naviga sul web. Se un utente visita un sito che contiene alcune parole chiave, il trojan si attiva e inizia a intercettare le comunicazioni dell'utente inviando i dati agli attaccanti. Se il sito che la vittima sta visitando è una banca, i cracker possono aggiungere questo nuovo sito bancario all'elenco dei siti che attivano automaticamente Neverquest. L'aggiornamento del trojan viene poi inviato insieme attraverso il server centralizzato a tutte le altre macchine infette da Neverquest. Identificare il server centralizzato che invia i comandi è inutile: spesso è un server zombie (attaccato in precedenza e “infettato” con altre tecniche dai cracker). In pratica il legittimo proprietario del server non si accorge d'essere la “centrale” internazionale di un malware.
Fidelity.com, il sito di una delle più grandi imprese di investimento di fondi comuni di tutto il mondo, sembra essere uno dei principali obiettivi del trojan Neverquest. Tramite l'accesso a diversi account di questo enorme sito finanziario, sono stati portati via ingenti fondi, ma anche organizzato l'acquisto di azioni in Borsa.
Neverquest è stato inoltre progettato per avviare la raccolta di credenziali d'accesso quando un utente infetto visita un qualsiasi numero di siti non connessi ad istituti finanziari, tra cui Google, Yahoo, Amazon AWS, Facebook, Twitter, Skype e molti altri ancora.
Già nel mese di novembre, Kaspersky Lab ha rilevato casi in cui sono stati effettuati messaggi nei forum di cracker per l'acquisto e la vendita di banche dati per accedere ai conti bancari o di altri documenti utilizzati per aprire e gestire gli account a cui vengono inviati i fondi rubati. I prossimi mesi potranno verificarsi attacchi di massa con Neverquest, molti utenti potrebbero diventare vittime di furti di denaro online.
Proteggersi da Neverquest
I cracker affermano che questo malware sfugge agli antivirus, in realtà sembra che ormai tutte le banche dati dei sistemi di sicurezza siano state aggiornate e dovrebbe essere identificato. Come al solito è sempre consigliato avere antivirus ben aggiornati e blindati, ogni tanto fare una scansione di sicurezza del sistema con MalwareBytes gratuito.
Non si esclude, però, che eventuali “mutazioni” del malware possono lasciar aperte, per qualche giorno, eventuali porte per attacchi non rilevati dagli antivirus.
L'installazione di un firewall come Comodo, darebbe la matematica certezza che il vostro computer non stia comunicando esternamente con sconosciuti.