Перейти к содержанию

Троянец Neverquest способен ограбить сотни банков

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Neverquest – это новый банковский троянец, распространяющий себя через социальные сети, электронную почту и файлообменники. Он обладает способностью распознавать «сотни» финансовых сайтов и онлайновых банкинговых ресурсов, по заявлению его создателей. Как только пользователь пытается зайти на один из таких сайтов, троянец начинает свою работу по краже учетных данных жертвы.

Банковский троянец Neverquest ворует из сотен банков

Далее Neverquest передает украденные данные на свой командный сервер. После чего злоумышленники могут использовать эти данные для входа в учетную запись жертвы при помощи системы удаленного администрирования (VNC). Эта технология, похожая на удаленный рабочий стол, позволяет преступникам входить в банковскую систему фактически с домашнего компьютера жертвы. Таким образом банковская служба безопасности не в состоянии отличить законного пользователя от преступника.

Когда пользователь на уже инфицированной машине посещает один из имеющихся в списке троянца сайтов, вредонос активизируется и соединяется с управляющим сервером.

В начале недели эксперт «Лаборатории Касперского» Сергей Голованов написал, что пока зафиксировано несколько тысяч попыток заражения, но у Neverquest имеется потенциал заразить куда большее количество машин, особенно в предпраздничный сезон, так как он весьма эффективен и универсален, а также способен самовоспроизводиться. Аналогичная ситуация была в 2009 году, когда троянец Bredolab действовал аналогично и весьма эффективно, став третьим по популярности вредоносом в Сети.

«Когда пользователь на уже инфицированной машине посещает один из имеющихся в списке трояна сайтов, вредонос активизируется и соединяется с управляющим сервером», – пояснил Голованов в аналитической записке на Securelist. «Злоумышленник может получить имена пользователей и пароли, а также изменять содержимое открытой веб-страницы. Таким образом все введенные пользователем-жертвой данные будут переданы злоумышленнику».

После того, как злоумышленник завладеет регистрационными данными, он может совершенно спокойно очистить счет жертвы, не беспокоясь о поднятии тревоги в банке. Однако в ряде случаев, как заметил Сергей Голованов, злоумышленник сначала несколько раз перемещает деньги между имеющимися счетами разных жертв прежде, чем отправит их себе. Таким образом возникает путаница, в результате которой сложно отследить истинные движения денег.

Neverquest можно купить как минимум на одном подпольном форуме. Может показаться, что эта напасть затрагивает только пользователей Internet Explorer и Mozilla Firefox, однако его создатели утверждают, что троянец можно модифицировать так, что он сможет атаковать «любой банк в любой стране». Кроме того, программа содержит функцию поиска по конкретным банковским словам при серфинге на зараженном компьютере. Если пользователь посещает сайт, на котором такие слова присутствуют, троянец активизируется и начинает перехват вводимых пользователем данных. Если посещаемый сайт оказывается банком, то злоумышленники добавляют новый сайт в активный список автозапуска Neverquest. Затем это обновление предается по сети на все остальные зараженные машины.

Neverquest обладает способностью распознавать сотни финансовых сайтов и онлайновых банкинговых ресурсов. Как только пользователь пытается зайти на один из таких сайтов, троянец начинает свою работу по краже учетных данных жертвы.

Fidelity.com, сайт одного из крупнейших паевых инвестиционных фондов, по-видимому, является одной из главных целей этого троянца, если верить отчету.

«Этот сайт предлагает своим клиентам длинный список способов управления своими финансами через интернет,» – написал Сергей Голованов. «Это дает злоумышленникам возможность не только напрямую переводить украденные финансы на свой счет, но также и играть на фондовом рынке, используя деньги и учетные записи своих жертв».

Neverquest тажке способен собирать данные при посещении сайтов, не связанных с банковской деятельностью, таких, как Google, Yahoo, Amazon AWS, Facebook, Twitter, Skype и многих других.

«Неделя до новогодних или рождеественских праздников – традиционно период высокой вредоносной активности», – пишет Голованов. «Уже в ноябре «Лаборатория Касперского» отмечает случаи постинга на хакерских форумах, в которых предлагались продажи баз данных с реквизитами банковских счетов и документами, используемыми для открытия и ведения банковских счетов, на которые будут направляться украденные средства. Мы можем ожидать массовые атаки Neverquest к концу года, что приведет к большому количеству жертв хищений средств среди пользователей онлайновых банковских систем».

«Защита от такой угрозы, как Neverquest требует более серьезных средств, нежели стандартный антивирус. Пользователи должны создать отдельные процессы, которые обеспечат безопасность онлайновых транзакций. В частности, эти процессы должны иметь возможность контролировать запуск браузера и дополнительных процессов, а также предотвращать вмешательство в этот процесс сторонних приложений,» – добавил Сергей Голованов.

К счастью, «Лаборатория Касперского» имеет технологию под названием «Безопасные платежи», входящую в состав Kaspersky Internet Security и Kaspersky CRYSTAL, которая защищает связь пользователя с финансовыми сайтами, уделяя особое внимание безопасности защифрованного соединения и отсутствию стороннего контроля над браузером.



Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Friend
      Каким банком пользуетесь Вы?
      От Friend
      В нашей стране очень много банков.
      Каким банком пользуетесь Вы? Почему решили выбрать его? Есть кэшбэк за покупки при оплате картой банка, туда начисляют зарплату, там хорошие проценты, банкоматы банка есть почти везде, хакеры еще ни разу не взломали данный банк, бесплатное обслуживание карты и т.п. ?
    • Mrak
      Бесплатный способ расшифровки аудиозаписей и получения стенограммы
      От Mrak
      Здравствуйте.
       
      По работе часто приходится слушать аудиозаписи протоколов судебных заседаний. Когда аудиозаписи многочасовые, на это уходит много времени. 
      Подскажите пожалуйста, существует ли бесплатный способ получить стенограмму многочасовой аудиозаписи?
      Пример:
      Например, можно ли "скормить" запись какому-нибудь chat gpt или боту в телеграмм, загрузить какую-нибудь программу или иным образом получить расшифровку?
      Платные варианты из серии - сделай сам или найми человека, кто будет сидеть в наушниках и создавать стенограмму, не предлагайте. Они известны. 
    • KL FC Bot
      Apple разработала новый способ защиты переписок в iMessage | Блог Касперского
      От KL FC Bot
      Широкое распространение квантовых компьютеров в ближайшем будущем может позволить хакерам расшифровывать сообщения, зашифрованные методами классической криптографии, с невиданной ранее скоростью. Решение этой возможной проблемы предложили в Apple: после ближайшего обновления «яблочных» ОС диалоги в iMessage будут защищены новым постквантовым криптографическим протоколом PQ3. Эта технология позволяет изменить алгоритмы сквозного шифрования с открытым ключом так, что они будут работать на «классических» компьютерах, но обеспечат защиту от потенциального взлома с использованием будущих квантовых компьютеров.
      Как работает новый протокол шифрования и зачем он нужен — рассказываем в этой статье.
      Как работает PQ3
      Все популярные приложения и сервисы обмена сообщениями сегодня используют стандартные методы асимметричного шифрования с помощью пары из открытого и закрытого ключей. Открытый ключ используется для шифрования отправленных сообщений и может передаваться по незащищенным каналам. Закрытый ключ чаще всего используется для создания симметричных сессионных ключей, которыми затем шифруются сообщения.
      На сегодняшний день этого уровня безопасности достаточно, но в Apple играют на опережение, опасаясь, что хакеры могут готовиться к появлению квантовых компьютеров загодя. Из-за низкой стоимости хранения данных злоумышленники могут собирать огромные объемы зашифрованных данных и хранить их до тех пор, пока их расшифровка с использованием квантовых компьютеров не станет возможна.
      Для предотвращения подобных случаев Apple разработала новый протокол криптографической защиты PQ3. Теперь обмен ключами защищен с помощью дополнительного постквантового компонента. Это к тому же позволяет минимизировать количество сообщений, которые потенциально могут быть дешифрованы злоумышленниками.
      Виды криптографии, используемые в мессенджерах. Источник
       
      Посмотреть статью полностью.
    • KL FC Bot
      Способы обнаружения и ограничения атак living off the land (LOTL) | Блог Касперского
      От KL FC Bot
      Серьезные атакующие, выбравшие целью именно вашу компанию, наверняка захотят проникнуть в инфраструктуру глубоко и закрепиться в ней надолго. Иногда для этого используется качественное вредоносное ПО, но многие злоумышленники предпочитают обходиться без него. Они атакуют компанию, используя уязвимости, украденные учетные данные и легитимные программы, которые уже есть в системе. Эта техника называется living off the land (LOTL, буквально «кормиться с земли» или, что точнее по смыслу, «работать подручными средствами»), и, с точки зрения злоумышленника, у нее масса достоинств:
      вредоносная активность сливается с повседневной работой в сети и обычными административными активностями; инструменты, которые уже установлены на компьютерах, с меньшей вероятностью вызовут срабатывание базовых средств защиты информации (EPP); атакующим не надо тратиться на разработку своих вредоносных инструментов; у такой активности нет простых в применении индикаторов компрометации (IOC), поэтому зловредные действия сложно отследить, а кроме того, сложно сопоставить атаки в разных организациях; во многих компаниях мониторинг сети и информация о повседневной сетевой активности собирается и хранится недостаточно детально, поэтому ни в реальном времени, ни тем более в прошедшем не удается эффективно и подробно проследить за развитием атаки. В результате предотвращение атаки и устранение ее последствий оказываются очень трудны. Технику LOTL применяют как шпионские группировки (раз, два), так и финансово мотивированные злоумышленники и банды ransomware.
       
      Посмотреть статью полностью
    • KL FC Bot
      Способы защиты сайтов и блогов WordPress от взлома | Блог Касперского
      От KL FC Bot
      Создатели любого веб-сайта несут за него моральную и юридическую ответственность на все время его существования. При этом мало кто знает, что если веб-сервер компании взломают, то пострадать может не только организация и ее клиенты. Нередко взломанный сайт становится площадкой для запуска новых кибератак, причем владельцы этого часто просто не замечают.
      Зачем взламывают сайт компании
      Взлом сайта может быть частью более крупной кибератаки или самостоятельной криминальной активностью. Под «взломом» мы понимаем внесение в сайт изменений, не путайте его с DDoS-атакой. Итак, если взлом нацелен именно на вашу компанию, то его цели обычно такие:
      оказать давление на организацию в рамках атаки вымогателей; оповестить клиентов и партнеров о том, что компания взломана; скачать с сайта ценную информацию, например контакты клиентов, если она хранится в его базах данных; отвлечь сотрудников IT и ИБ от более важной атаки, направленной на кражу данных или саботаж; просто нанести репутационный урон. Но очень часто взломщикам не нужен именно ваш сайт. Их устроит любой сайт с хорошей репутацией, на котором они могут незаметно разместить вредоносный контент. Дальше на сайте появляются фишинговые страницы-подделки, ссылки на спам-ресурсы, реклама во всплывающих окнах. В общем, он становится орудием злоумышленников. При этом основные разделы сайта могут быть не затронуты. Открывая главную страницу или основные подразделы, клиенты и сотрудники ничего не заметят. Вредоносный контент размещается в новых подпапках, а жертв в эти подразделы заманивают при помощи прямых ссылок.
       
      Посмотреть статью полностью
×
×
  • Создать...