O Neverquest é um novo trojan desenvolvido para sistemas bancários, ele se espalha através de redes sociais, e-mails e protocolos de transferência de arquivos. O trojan tem a capacidade de reconhecer centenas de bancos on-line e outros sites que realizam transações financeiras. Quando um usuário infectado tenta entrar em algum desses sites, o trojan é ativado, permitindo o acesso dos criminosos aos dados confidenciais da vítima.
O trojan repassa as credenciais roubadas para um servidor de comando. Uma vez lá, os criminosos podem usar os dados para fazer login em contas afetadas via computação de rede virtual (VNC). VNC é essencialmente um sistema de área de trabalho compartilhada, de modo que os criminosos basicamente utilizam o computador da vítima para entrar no home banking desta pessoa e efetuar o roubo. É praticamente impossível para o banco distinguir usuários legítimos de criminosos.
Tornado público pela Kaspersky Lab no início desta semana, o trojan infectou milhares de máquinas, mas – como especialista de malware Sergey Golovanov explica – o Neverquest tem potencial para causar muito mais danos ao longo da temporada de férias devido ao seu mecanismo de auto replicação eficiente e versátil. De fato, em 2009, o malware Bredolab usou dos mesmos métodos de distribuição que o Neverquest usa atualmente. O Bredolab acabaria por se tornar o terceiro malware mais distribuído na Internet.
“Quando um usuário utiliza algum computador infectado para visitar um dos sites da lista, o malware assume o controle da conexão do navegador com o servidor”, Golovanov explicou em uma análise sobre SecureList. “Os criminosos podem obter nomes de usuários e senhas digitadas pelo usuário, modificar o conteúdo de páginas web. Todos os dados digitados pelo usuário serão inseridos na página modificada e transmitidos para os usuários mal-intencionados”.
Uma vez que o invasor tem o controle da conta da vítima, ele pode esvaziá-la completamente, já que a conta está sob seu controle. No entanto, em muitos casos, Golovanov observa que os invasores estão movendo o dinheiro roubado por uma série de contas de várias vítimas. Para dificultar o rastreamento destas atividades, os criminosos depositam o dinheiro da conta de uma vítima em outra repetindo este processo diversas vezes antes de transferir o dinheiro para eles mesmos.
O Neverquest está à venda em pelo menos um fórum secreto. O trojan, apenas parece afetar apenas aos usuários que utilizam os navegadores Internet Explorer e Mozilla Firefox, mas os criadores do Neverquest dizem que ele pode ser modificado para atacar “qualquer banco em qualquer lugar”.
O malware também contém um recurso que procura por palavras-chave relacionadas a movimentações bancárias enquanto o usuário navega em um computador infectado. Se um usuário visita um site que inclui alguma destas palavras-chave, o trojan é ativado e começa a interceptar as comunicações do usuário e enviá-las de volta para os invasores. Se o site visitado for de um banco novo, os invasores adicionam a página a sua lista de sites que automaticamente ativam o Neverquest. Esta atualização é enviada através de um comando do Neverquest para todas as outras máquinas infectadas.
De acordo com um relatório, o site Fidelity.com, uma das maiores empresas de fundos mútuos de investimento do mundo, parece ser um dos principais alvos do trojan de acordo com o relatório.
“O site oferece aos seus clientes uma longa lista de formas de gerir as suas finanças online”, escreveu Golovanov no SecureList. “Isso dá aos usuários mal-intencionados a oportunidade de não só transferir fundos em dinheiro para suas próprias contas, mas também para jogar com o mercado de ações, usando as contas e o dinheiro das vítimas do Neverquest”.
O Neverquest também foi projetado para coletar dados de usuários infectados mesmo em sites não relacionados a finanças, incluindo o Google, Yahoo, Amazon AWS, Facebook, Twitter, Skype e muito mais.
“As semanas que antecedem o Natal e o Ano Novo, são tradicionalmente um período de grande atividade de usuários maliciosos”, escreveu Golovanov. “Já em novembro, a Kaspersky Lab observou casos sobre a compra e venda de bancos de dados para acessar contas bancárias e outros documentos utilizados para abrir e gerenciar as contas para que os fundos roubados sejam enviados. Podemos esperar para ver ataques em massa através do Neverquest no final do ano, o que certamente irá aumentar o número de usuários que se tornam vítimas destes crimes virtuais”
Gologov também afirma que “A proteção contra ameaças como Neverquest requer mais do que apenas um antivírus padrão. Os usuários precisam de uma solução dedicada que garanta a segurança das suas transações. A solução tem de ser capaz de controlar um processo de busca em execução e evitar qualquer tipo de manipulação por parte de outras aplicações”.
Felizmente, a Kaspersky Lab possui tal tecnologia chamada Safe Money, que faz parte do Kaspersky Internet Security e Kaspersky PURE, protegendo a interação do usuário com sites financeiros, prestando especial atenção à segurança de conexões criptografadas e ausência de controle de terceiros sobre navegador.