Για πάνω από 5 χρόνια, το Trojan Zeus ήταν αναμφισβήτητα ο βασιλιάς των τραπεζικών malware. Μόλις το Trojan φορτωνόταν στον υπολογιστή του θύματος μπορούσε:
- Να εντοπίσει πότε ο χρήστης έδινε τραπεζικά στοιχεία στον web browser.
- Να κλέψει κωδικούς και άλλα στοιχεία login.
- Να κρυπτογραφήσει τις κλεμμένες πληροφορίες και να της στείλει στον server του επιτιθέμενου.
Το Zeus ήταν επίσης το πρώτο κακόβουλο λογισμικό που πουλήθηκε με άδεια. Με την κατάλληλη τιμή ο καθένας μπορούσε να το χρησιμοποιήσει.
Το Zeus έχει παραμείνει ενεργός μέχρι και σήμερα αν και ο κώδικας του δημοσιεύθηκε online το 2011. Δυστυχώς οι ειδικοί στον τομέα της ασφάλειας ήδη εφιστούν την προσοχή για ένα καινούριο malware που κάνει τον Zeus να φαίνεται παιχνίδι. Ο Neverquest ανεβάζει αρκετά τον πήχη στα online τραπεζικά malware.
Πως λειτουργεί:
Όπως ο Zeus, ο Neverquest είναι ένα Trojan. Ο επιτιθέμενος συστήνει τον Neverquest στον υπολογιστή του θύματος μέσω social media, email ή μέσω κάποιας μεταφοράς αρχείων. Σύμφωνα με το security blog ‘Threat post’ o Neverquest αναπαράγεται παρόμοια με το Bredolab botnet (Πριν διαλυθεί το Bredolab Botnet αποτελούταν από 30 εκατομμύρια υπολογιστές!).
Αν ο υπολογιστής του θύματος που έχει τεθεί στόχος από τον loader του Neverquest είναι εκτεθειμένος σε ένα exploit, το malware εγκαθίσταται. Τότε, ο Neverquest αρχίζει να παρατηρεί τι γράφει ο χρήστης στον web browser. Αν αναγνωρίσει κάποιο προκαθορισμένο οικονομικό όρο ελέγχει το domain name της ιστοσελίδας(Ο Neverquest έχει εκατοντάδες τραπεζικούς οργανισμούς στην βάση δεδομένων του οπότε υπάρχει μεγάλη πιθανότητα να αναγνωρίσει το site της τράπεζας).
Μόλις ο Neverquest αναγνωρίσει ένα site τράπεζας, θα μεταφέρει τις πληροφορίες login στο κεντρικό server του επιτιθέμενου. Από τη στιγμή που τα διαπιστευτήρια του θύματος θα βρεθούν στα χέρια του επιτιθέμενου, θα μπορεί να ελέγξει τον υπολογιστή του θύματος χρησιμοποιώντας οποιοδήποτε VNC πρόγραμμα και να συνδεθεί στην τραπεζική ιστοσελίδα του θύματος οπότε θα έχει τα δυνατότητα να μεταφέρει χρήματα και να αλλάξει τα στοιχεία Login ‘κλείνοντας απ’ έξω’ τον χρήστη.
Μία δυνατότητα του Neverquest που δεν είχε ο Zeus είναι ότι μπορεί να προσθέτει καινούρια τραπεζικά site στην βάση δεδομένων του. Αν το Trojan αναγνωρίσει τραπεζικούς όρους αλλά όχι το domain θα στείλει τις πληροφορίες πίσω στον server και θα δημιουργήσει καινούρια καταχώρηση και στη συνέχεια θα κάνει update σε όλους τους μολυσμένους υπολογιστές.
Δυστυχώς ο Neverquest είναι ήδη διαθέσιμος για πώληση. Σε αντίθεση με τον Zeus, ο οποίος χρειαζόταν εξειδικευμένους χειριστές, ο Neverquest μπορεί να χρησιμοποιηθεί από οποιονδήποτε αρχάριο με το που αγοραστεί.
Όπως αναφέρει η Kaspersky στο blog της “Απειλές όπως ο Neverquest απαιτούν κάτι περισσότερο από ένα απλό antivirus, οι χρήστες χρειάζονται μία λύση που να διασφαλίζει τις online συναλλαγές τους”. Επίσης, αναφέρεται πως ο Neverquest είναι σχεδιασμένος για να υποκλέπτει δεδομένα από διάφορα άλλα site, εκτός των τραπεζών, όπως Facebook, Twitter, Skype, Google.
Ευχαριστούμε θερμά το μέλος της SecTeam @ Walkin.
