Click Accept pentru a primi notificări cu cele mai importante știri!
Neverquest este numele celui mai recent virus troian aruncat pe piaţă de o echipă de programatori ruşi specializaţi în infracţiuni cibernetice bancare.
Răspândit prin media socială, email sau protocoale de transfer de fişiere, Neverquest are capacitatea de a recunoaşte câteva sute de instrumente de banking online sau site-uri financiare care implică tranzacţii online.
Neverquest iese din hibernare atunci când utilizatorul unui sistem infectat iniţiază o sesiune de logare pe unui din site-urile vizate de către creatorii săi. Virusul se activează, preia controlul asupra conexiunii dintre browser şi server, înregistrând datele introduse de client şi transferându-le unui server dedicat, pentru stocare.
Ulterior acestei acţiuni, atacatorul se loghează în contul clientului chiar de pe sistemul infectat, prin intermediul protocoalelor Virtual Network Computing (VPC). VPC este un sistem comandă la distanţă, de partajare în reţea a ecranelor desktop-urilor, comenzile executate prin intermediul tastaturii sau mouse-ului fiind transmise de la un sistem la altul.
Logarea făcându-se chiar de pe sistemul infectat, serverul instituţiei financiare nu sesizează niciun parametru diferit faţă de cei ai clientului legitim al contului, validând conexiunea.
Pentru a ascunde urmele care ar putea să le dezvăluie identitatea, atacatorii folosesc sistemele infectate pentru a muta de mai multe ori dintr-un cont în altul sumele de bani subtilizate.
Experţii în securitate informatică avertizează asupra faptului că Neverquest este extrem de dificil de identificat de către programele antivirus, creatorii lui invalidând aproape toate metodele prin care activitatea sa ar putea fi întreruptă.
Malware-ul conţine şi o rutină prin care caută cuvinte-cheie relaţionate mediului financiar chiar în timp ce utilizatorul computerului infectat navighează pe internet. Dacă pagina încărcată conţine unul dintre aceste cuvinte-cheie, virusul se activează şi începe interceptarea comunicaţiilor. Dacă punctul final al acestei navigări este site-ul unei instituţii financiare, noul site este adăugat automat listei care declanşează activitatea virusului, update-ul fiind transmis apoi tuturor sistemelor infectate.
Kaspersky Lab, pe blogul căruia a apărut anunţul despre aceast nou pericol cibernetic, estimează că până în prezent au fost infectate câteva zeci de mii de sisteme la nivel mondial, dar că potenţialul de creştere este mare odată cu apropierea sărbătorilor de iarnă, avându-se în vedere eficienţa de penetrare şi versatilitatea auto-replicării acestui virus.
Kaspersky spune că a identificat cel puţin un forum undergroud pe care virusul se află de vânzare şi că după primele studii se pare că afectează doar utilizatorii browsere-lor Mozilla Firefox şi Internet Explorer, cel puţin până în acest moment.
Protecţia împotriva acestei noi ameninţări informatice cere mult mai mult decât activitatea unui antivirus, utilizatorii au nevoie de soluţii dedicate prin care tranzacţiile financiare online să fie securizate. În mod particular, soluţia trebuie să aibă posibilitatea de a controla procesele care rulează în timpul activităţii unui browser şi să prevină manipularea acestora de către alte aplicaţii.
