По оценке «Лаборатории Касперского», банковский Windows-троянец, питающий слабость к Fidelity Investments, одному из крупнейших фондов взаимных инвестиций, заразил в разных странах несколько тысяч компьютеров и способен наделать еще больше бед в канун Рождества и новогодних праздников.

В отчете «лаборантов» рассмотрена способная к самораспространению вредоносная программа Neverquest (Trojan-Banker.Win32/64.Neverquest), которая отслеживает заходы жертвы на сайты 100+ банков и прочих финансовых институтов. Данный зловред отсылает своим хозяевам банковские реквизиты и другие персональные данные, давая им возможность проводить транзакции от имени жертвы через установленное Neverquest VNC-подключение.

«Эта вредоносная программа появилась относительно недавно, и злоумышленники работают с ней еще не в полном объеме, — отмечает Сергей Голованов, эксперт «Лаборатории Касперского». —  Учитывая возможности Neverquest по самораспространению, число атакованных пользователей может значительно вырасти за небольшой промежуток времени».

О существовании данного банкера исследователи узнали в минувшем июле, когда обнаружили на одном из подпольных форумов объявление о продаже нового троянца. Продавец позиционировал его как приватный бот, способный атаковать около 100 американских банков путем внедрения кода в страницы сайтов во время их загрузки в Internet Explorer или Firefox.

Основной модуль Neverquest загружается в систему с помощью даунлоудера или дроппера. Эти программы устанавливают DLL-файл в папку %appdata% под случайным именем с расширением .DAT и обеспечивают его автозапуск. Если это первичная инфекция, зловред при инициализации запускает VNC-сервер и посылает запрос в центр управления на получение конфигурационного файла. В этом шифрованном файле содержится набор кодов для внедрения в браузеры и список банковских сайтов, в страницы которых следует вставлять вредоносные JavaScript. Этот перечень, по свидетельству «лаборантов», включает ресурсы крупных международных банков и платежных систем, а также банков Германии, Италии, Турции и Индии.

Когда жертва инфекции заходит на какой-либо сайт из заданного списка, вредоносная программа включает контроль соединения браузера с сервером. «Злоумышленники могут получить логин и пароль, которые вводит пользователь, а также модифицировать содержимое веб-страницы, — поясняет Голованов. — Все данные, которые пользователь вводит на модифицированной странице, также передаются злоумышленникам».  Незаконные транзакции, по словам эксперта, проводятся с использованием SOCKS-сервера и удаленного подключения к зараженному компьютеру через VNC-сервер. Краденые деньги переводятся на счета, контролируемые злоумышленниками, или для запутывания следов на счета других жертв.

Голованов также уточнил, что список банков, атакуемых Neverquest, может быть расширен. В конфигурационном файле содержится список слов, ассоциируемых с банковской деятельностью: «availablebalance», «CheckingAccount», «accountsummary» и т.п. Обнаружив одно из этих слов на открытой в браузере странице, зловред перехватывает и отправляет злоумышленникам ее содержимое и URL. На основании этих данных злоумышленники могут разработать дополнительный код для внедрения на странице не вошедшего в исходный перечень банка. Этот код затем включается в набор вредоносных скриптов в конфигурационном файле, и обновление раздается на все зараженные машины.

Из атакуемых Neverquest сайтов, зафиксированных «Лабораторией Касперского», наиболее привлекателен для злоумышленников fidelity.com, клиенты которого имеют широкий выбор управления своими финансами. Кража таких учетных записей дает операторам зловреда возможность не только выводить деньги на свои счета, но и играть на фондовых рынках.

Используемые Neverquest механизмы самораспространения аналогичны тем, которыми располагает Bredolab — зловред, заразивший по всему миру миллионы компьютеров. Neverquest собирает идентификаторы из десятков разных программ для доступа к FTP-серверам; эта информация впоследствии используется для раздачи этого зловреда с помощью эксплойт-пака Neutrino.  Функционал троянца также предусматривает кражу данных из email-клиентов жертвы и во время SMTP/POP-сессий, что позволяет злоумышленникам рассылать в спаме дроппер Neverquest. Третий способ распространения зловред обеспечивает, воруя ключи к аккаунтам социальных веб-сервисов, таких как Facebook, Live.com, Twitter и Amazon, с которых можно впоследствии раздавать ссылки на зараженные ресурсы.

«Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам и документов, используемых для открытия и управления счетами, на которые переводятся украденные деньги, — предупреждает Голованов. — Поэтому ближе к концу года нам следует ожидать массовых атак Neverquest, которые могут привести к финансовым потерям пользователей».

Категории: Вредоносные программы, Главное