Neverquest es un nuevo troyano bancario que se propaga a través de las redes sociales, correos electrónicos y transferencias de archivos. Posee la capacidad de reconocer cientos de bancos online y otros sitios web financieros. Cuando un usuario infectado intenta acceder a uno de los sitios, el troyano reacciona activándose automáticamente y hurtando las credenciales de su víctima.
Luego de eso, Neverquest retransmite las credenciales robadas a un servidor de control. Una vez allí, los hackers pueden utilizar las informaciones para iniciar sesión en las cuentas afectadas a través de la red virtual (VNC). VNC es esencialmente un sistema de escritorio compartido, a través del cual los cibercriminales usan el ordenador de la víctima para acceder a su cuenta bancaria por Internet. De esa manera, se vuelve casi imposible para el banco distinguir los usuarios legítimos de los delincuentes.
Hecho público por Kaspersky Lab a principios de esta semana, si bien el troyano ha infectado a miles de máquinas, el malware tiene potencial para hacer mucho más daño a lo largo de las vacaciones debido a su habilidad de auto-replicación.
Cuando un usuario accede a su cuenta en una máquina infectada, el malware controla la conexión del navegador con el servidor. Los usuarios malintencionados pueden obtener nombres de otros usuario, sus contraseñas, y modificar el contenido de la página web. Todos los datos introducidos por el usuario se pueden introducir en la página web modificando y transmitiendo a usuarios maliciosos.
Una vez que el hacker tiene el control de la cuenta de la víctima puede vaciarla por completo. En muchos casos, sin embargo, los cibercriminales mueven el dinero robado a través de una serie de cuentas de las víctimas. De esta manera, se deshacen del dinero de la cuenta de una víctima en otra y repiten este proceso varias veces antes de obtenerlo directamente, con el fin de que sus actividades sean más difíciles de rastrear.
Neverquest está a la venta en al menos uno de los foros underground y parece afectar solamente a los usuarios que navegan con Internet Explorer y Mozilla Firefox, pero sus creadores se jactan de que puede ser modificado para atacar a cualquier banco en cualquier país.
El troyano también contiene una función que busca palabras claves relacionadas con un banco en concreto. Cuando el usuario infectado visita una página web que contiene esas keywords, el troyanos se activa y empieza a interceptar las comunicaciones y enviarlas de vuelta a los cibercriminales. Si se descubre que se trata de una entidad bancaria real, los hackers añaden la URL a la lista y envían automáticamente una actualización a todos las máquinas infectadas por Neverquest.
Fidelity.com, el sitio de una de las empresas de fondos de inversión y servicios financieros más grandes del mundo, parece ser uno de los principales objetivos del troyano.
“Esta página ofrece a los clientes muchas maneras de manejar su dinero online”, escribió en Golovanov en Securelist. “Así los cibercriminales no sólo pueden transferir el dinero a sus cuentas, sino también invertir en la bolsa con los recursos de las víctimas”.
Neverquest también ha sido diseñado para recopilar datos cuando el usuario infectado visita otras páginas no relacionadas con las finanzas, incluyendo Google, Yahoo, Amazon AWS, Facebook, Twitter, Skype, entre otras.
“Las semanas que preceden a las vacaciones de Navidad y Año Nuevo se caracterizan por una gran actividad cibercriminal”, ha añadido Golovanov. “Ya en noviembre, Kaspersky Lab publicó un artículo sobre la compraventa de bases de datos para acceder a cuentas bancarias online o de otra documentación para crear cuentas falsas donde transferir el dinero robado. Pensamos que los ataques en masa con Neverquest se intensificarán a finales del año, así que durante esta temporada el riesgo de convertirnos en víctima de este troyano se incrementa”.
Y continúa:
“Para protegerse contra las amenazas como Neverquest se requiere algo más que un antivirus estándar. Los usuarios necesitan una solución dedicada que proteja sus transacciones online. En particular, es indispensable controlar las comunicaciones con el navegador para evitar la manipulación de los datos por otras aplicaciones”. Kaspersky Lab tiene tal tecnología llamada Safe Money. Esta tecnología hace parte de Kaspersky Internet Security y Kaspersky PURE, que protege al usuario con los sitios financieros, prestando especial atención a la seguridad de la conexión cifrada y la ausencia de control de terceros a través de los navegadores web.