安全研究人员警告称,一种针对在线金融服务用户的新木马程序有可能在未来几个月内迅速传播。
据卡巴斯基实验室的恶意软件研究人员称,该恶意软件于7月份首次在一个私人网络犯罪论坛上发布广告,并将其命名为Trojan-Banker.Win32/64.Neverquest。
[也:2013年最严重的数据泄露事件]
卡巴斯基实验室的恶意软件研究员Sergey Golovanov说:“到11月中旬,卡巴斯基实验室已经在世界各地记录了数千次试图感染Neverquest病毒的记录。博客。“这种威胁相对较新,网络罪犯还没有充分利用它。考虑到Neverquest的自我复制能力,被攻击的用户数量可能会在短时间内大幅增加。
Neverquest拥有其他金融恶意软件的大部分功能。它可以修改在Internet Explorer或Firefox中打开的网站内容并注入恶意表单,它可以窃取受害者在这些网站上输入的用户名和密码,并允许攻击者使用VNC(虚拟网络计算)远程控制受感染的计算机。
然而,这个木马程序也有一些突出的特点。
它的默认配置定义了28个目标网站,这些网站属于大型国际银行以及流行的在线支付服务。然而,除了这些预定义的网站之外,恶意软件还会识别受害者访问的网页,其中包含一些关键字,如余额、支票账户和账户摘要,并将其内容发送给攻击者。
这有助于攻击者识别新的金融网站,并为恶意软件构建脚本与之交互。
一旦攻击者获得了访问网站上用户账户所需的信息,他们就会使用代理服务器通过VNC连接到用户的计算机,并直接访问该账户。这可以绕过网站实施的某些账户保护机制,因为像转账这样的未经授权的行为是通过受害者的浏览器完成的。
戈洛瓦诺夫说:“在这个特别计划针对的所有网站中,富达投资(Fidelity Investments)旗下的fidelity.com似乎是首要目标。”“这家公司是世界上最大的共同投资基金公司之一。它的网站为客户提供了一长串在线理财的方法。这不仅让恶意用户有机会将现金转移到自己的账户,还可以利用Neverquest受害者的账户和钱来玩股票。”
分发Neverquest的方法与分发Bredolab僵尸网络客户端类似,后者是2010年互联网上传播最广泛的恶意软件之一。
Neverquest从安装在被感染计算机上的FTP(文件传输协议)客户端应用程序中窃取登录凭证。然后,攻击者利用这些FTP凭证用Neutrino漏洞包感染网站,然后利用浏览器插件的漏洞在访问这些网站的用户的电脑上安装Neverquest恶意软件。
该木马程序还从电子邮件客户端窃取SMTP(简单邮件传输协议)和POP(邮局协议)证书,并将它们发送回攻击者,这样他们就可以用来发送带有恶意附件的垃圾邮件。Golovanov说:“这些邮件通常被设计成来自各种服务的官方通知。”
此外,Neverquest还窃取了从被感染的电脑访问的大量社交网站和聊天服务的账户登录信息。这些账户可以用来传播感染网站的链接,以进一步传播Neverquest,尽管卡巴斯基实验室还没有看到这种方法被使用。
戈洛瓦诺夫说:“早在11月,卡巴斯基实验室就注意到黑客论坛上发布了一些关于买卖数据库的帖子,以获取银行账户和其他用于开立和管理账户的文件,被盗资金被送到这些账户。”“我们预计今年年底将会看到大规模的Neverquest攻击,这最终可能导致更多用户成为网上现金盗窃的受害者。”