Kaspersky Lab ha registrato migliaia di tentativi di infezione a computer utilizzati per attività di online banking, tramite un programma nocivo in grado di colpire “qualsiasi banca in qualsiasi paese”
Il Trojan banker Neverquest sfrutta quasi tutti i metodi utilizzati per aggirare i sistemi di sicurezza bancari online: web injection, sistema di accesso remoto, ingegneria sociale. Considerando le capacità di auto riproduzione del Trojan, è possibile prevedere un forte aumento del numero di attacchi che coinvolgono Neverquest, con conseguenti perdite finanziarie per gli utenti di tutto il mondo.
La settimana precedente al Natale e alle vacanze di Capodanno sono tradizionalmente un periodo intenso per l’attività nociva ai danni degli utenti. Già a novembre si sono verificati casi in cui, nei forum degli hacker, sono apparsi messaggi circa l’acquisto e la vendita di banche dati per accedere ai conti bancari e ad altri documenti utilizzati per aprire e gestire gli account a cui vengono inviati i soldi rubati. Neverquest era già apparso sul mercato nel luglio di quest’anno, quando era stato individuato su un forum l’annuncio per la ricerca di un partner disposto a lavorare con questo Trojan.
Sergey Golovanov, Principal Security Researcher di Kaspersky Lab, ha commentato: “Dopo i numerosi procedimenti penali connessi alla creazione e proliferazione di malware utilizzati per sottrarre i dati bancari dai siti web, i criminali informatici stanno cercando nuove idee e nuove tecnologie per le loro attività illegali. Neverquest è solo una delle minacce che mirano a prendere il posto che è stato di ZeuS e Carberp”.
Neverquest sottrae le username e le password dai conti bancari, oltre a tutti i dati inseriti dagli utenti. Script speciali per Internet Explorer e Firefox sono utilizzati per facilitare questi furti, fornendo al malware il controllo della connessione browser con i server di comando dei criminali informatici utilizzati per visitare i siti presenti su 28 liste, compresi quelli che appartengono alle grandi banche internazionali; siti di banche tedesche, italiane, turche e siti di sistemi di pagamento. Altre funzioni aiutano gli utenti malintenzionati ad incrementare la lista di banche colpite, attraverso lo sviluppo di codici che possono essere diffusi su nuovi siti web, che in precedenza non erano ancora stati inseriti nella lista degli obiettivi.
Tra tutti i siti colpiti da questi programmi, un fondo d’investimento il cui sito offre ai clienti una lunga lista di metodi per gestire online le proprie finanze. Questo dà ai criminali informatici la possibilità di trasferire non solo i fondi ai propri conti, ma anche giocare in borsa, utilizzando i conti e il denaro delle vittime colpite da Neverquest.
Dopo aver ottenuto l’accesso all’account del sistema bancario online di un utente, i criminali informatici eseguono le transazioni e il trasferimento di denaro dal conto dell’utente al proprio.
La protezione contro le minacce come Neverquest richiede ulteriori funzionalità rispetto all’antivirus standard; gli utenti necessitano di una soluzione dedicata, che renda sicure tutte le transazioni.
In particolare, la soluzione deve essere in grado di controllare un processo del browser in esecuzione e prevenire qualsiasi manipolazione proveniente da altre applicazioni.
