Neverquest: Trojan đe dọa người sử dụng ngân hàng trực tuyến

Các malware này được giới thiệu lần đầu trên các diễn đàn của tù mạng vào tháng 7 vừa qua. Theo các chuyên gia từ Kaspersky Lab nó được gọi với tên là Trojan-Banker.Win32/64.Neverquest. Vào thứ 3 vừa qua, chuyên gia của Kaspersky Lab – Ông Sergey Golovanov đã viết trên Blog của mình: "Trong khoảng thời gian giữa tháng 11, Kaspersky Lab đã ghi nhận hàng ngàn cuộc tấn công thế lây truyền Neverquest từ khắp nơi trên thế giới”. Ông cũng cho biết: “ Mối đe dọa này tương đối mới và tầy mạng vẫn chưa dùng hết khả năng của nó, tuy nhiên với khả năng lây lan siêu nhanh của mình, trong thời kì ngắn sắp tới Neverquest có thể gia tăng đáng kể số lượng máy tính bị lây." Neverquest có hồ hết những tính năng của một malware, Neverquest có thể sửa đổi các nội dung được mở bởi IE và Firefox, móc túi các tài khoản người dùng cùng mật khẩu của họ trên các Website và sau đó kiểm soát các máy tính bị nhiễm bằng một máy tính ảo – VNC (Vitual Network Computing). Ngoài những điểm kể trên, có thể kể đến vài tính năng trội của Neverquest, làm các nhà bảo mật của Kaspersky rất quan tâm đến: Cấu hình mặc định của nó xác định mục tiêu là 28 Website thuộc về các nhà băng quốc tế lớn cũng như các dịch vụ thanh toán trực tuyến phổ biến trên thế giới. Ngoài 28 trang web này Neverquest còn có thân xác định được các trang Web khác duyệt các truy cập của nạn nhân với các từ khóa khăng khăng như: balance, checking account và account summary.... Điều này giúp tin tặc có thân xác định thêm các đích mới cho malware và xây dựng các kịch bản tiến công tương tự. Thông báo tài khoản nhà băng là mục tiêu của Neverquest. Các phương pháp được tin tặc dùng để lây lan Neverquest khá giống với cách mà botnet Bredolab sử dụng – một trong những malware phổ thông nhất trong năm 2010. Neverquest móc túi thông báo đăng nhập từ giao thức FTP (File Transfer Protocal), duyệt y một phần mềm bạn cài đặt trên máy tính của mình. Sau đó tin tặc tiếp kiến khẩn hoang các lỗ hổng trong các trình cắm (plug-in) được cài đặt trong trình duyệt để cài đặt Neverquest lên máy họ. Các chương trình Trojan cũng trộm cắp thông báo từ mail của khác hàng qua các giao thức như SMTP (Simple Mail Transfer Protocol) và POP (Post Office Protocol), dữ liệu ăn trộm được tin tặc dùng để gửi thư rác, đính kèm phần mềm độc hại. Một Email nặc danh từ Neverquest. Ngoài đối tượng là người sử dụng các dịch vụ tài thẳng thắn tuyến, Neverquest còn đánh cặp lượng lớn thông tin đăng nhập từ các mạng tầng lớp và dịch vụ chat trên các trang Web bị nhiễm. Các tài khoản này giúp Neverquest lây lan nhanh qua các trương mục bạn bè khác của họ. Ngay từ tháng 11, Kaspersky Lab đã ghi nhận trường hợp mua bán cơ sở dữ liệu để truy cập vào các trương mục ngân hàng và các tài liệu khác được dùng cho việc mở và quản lí account, bởi các tin tặc trong diễn đàn. Golovanov nói, “Chúng ta hãy chờ để xem các cuộc tấn công hàng loạt của của Neverquest vào cuối năm, và người dùng sẽ là nạn nhân của việc này”. TheoSecurelist