تروجان ‘Neverquest’، کاربران بانکی را تهدید می کند
محققان امنیتی هشدار می دهند یک تروجان جدید که کاربران خدمات مالی آنلاین را هدف قرار داده است، این پتانسل را دارد که تا چند ماه آینده به سرعت گسترش یابد.
به گزارش پایگاه خبری بانکداری الکترونیک،به نقل از مرکز ماهر بدافزار Neverquest بسیاری از قابلیتهای بدافزارهای مالی دیگر را دارا است. این بدافزار میتواند محتوی وب سایتهایی که توسط IE یا فایرفاکس باز شدهاند را تغییر داده و فرمهای جعلی را به آن ها تزریق نماید. سپس میتواند نامهای کاربری و رمز عبوری که در این وب سایتها توسط قربانی وارد میشود را به سرقت برده و به مهاجمان اجازه دهد تا از راه دور و با استفاده از VNC کنترل سیستمهای آلوده را در اختیار بگیرند.
در پیکربندی پیش فرض این تروجان، 28 وب سایت هدفمند که متعلق به بانکهای بینالمللی بزرگ و خدمات عمومی پرداخت آنلاین است، تعریف شده است. با این حال، علاوه بر این وب سایتها، این بدافزار قادر است تا صفحات وبی که کاربر مشاهده میکند و حاوی کلمات خاص مانند balance، checking account و account summary میباشد را شناسایی نموده و محتوی آن را برای مهاجم ارسال نماید. این روش به مهاجمان کمک میکند تا وب سایتهای مالی جدید را شناسایی نمایند.
پس از آنکه مهاجم اطلاعات لازم در خصوص حساب کاربری کاربر بر روی یک وب سایت را در اختیار گرفت، برای اتصال به کامپیوتر کاربر از طریق VNC از یک سرور پروکسی استفاده میکند و به طور مستقیم به حساب کاربری دسترسی مییابد. در این مسیر مهاجم باید مکانیزمهای حفاظتی حساب کاربری را دور بزند زیرا عملیات انتقال پول از طریق مرورگر قربانی انجام میشود.
روشهایی که برای توزیع Neverquest استفاده میشود شبیه به روشهایی است که برای توزیع کلاینت بات نت Bredolab به کار برده میشود. بات نت Bredolab معروفترین و گسترده ترین بدافزار سال 2010 است.
بدافزار Neverquest اعتبارنامههای ورود به حساب را از روی کلاینت FTP برنامههای نصب شده بر روی رایانههای آلوده به سرقت میبرد. سپس مهاجمان برای آلوده کردن وب سایتها به بسته کد سوءاستفاده Neutrino از این اعتبارنامههای FTP استفاده میکنند و بدین وسیله از آسیبپذیری موجود در پلاگین مرورگر سوءاستفاده کرده تا بدافزار Neverquest را بر روی رایانه هدف نصب نمایند.
هم چنین این برنامه تروجان میتواند اعتبارنامههای SMTP و POP را از کلاینتهای ایمیل به سرقت ببرد و برای مهاجمان ارسال کند. بنابراین مهاجمان میتوانند با استفاده از این اعتبارنامهها، ایمیلهای هرزنامهای حاوی الصاقات مخرب را برای کاربر ارسال نمایند. این ایمیلها بسیار شبیه اطلاعیههای رسمی از برخی ارائه دهندگان خدمات طراحی شده است.
انتظار میرود تا پایان سال حملات گسترده این بدافزار مشاهده شود به گونهای که بسیاری از کاربران خدمات مالی آنلاین، قربانی این تروجان شوند.