Neverquest: Ein Banktrojaner macht sich fit für die Feiertage

Nach Einschätzungen von Kaspersky Lab hat ein Windows-Banktrojaner mit einer Schwäche für Fidelity Investments – einer der größten Investmentfonds überhaupt – in verschiedenen Ländern mehrere tausend Computer infiziert und ist – gerade auch in Anbetracht der nahenden Feiertage – durchaus in der Lage, noch mehr Unheil anzurichten.

In dem Bericht der KL-Experten wird das zur Selbstverbreitung fähige Schadprogramm Neverquest (Trojan-Banker.Win32/64.Neverquest) unter die Lupe genommen, das die Besuche von Opfern auf den Websites von mehr als 100 Banken und anderen Finanzinstitutionen registriert. Dieser Schädling sendet seinen Herren Bankrequisiten und andere persönliche Daten und gibt ihnen damit die Möglichkeit, Transaktionen im Namen des Opfers über eine installierte Neverquest VNC-Verbindung durchzuführen.

„Dieses Schadprogramm ist erst vor relativ kurzer Zeit in Erscheinung getreten und die Cyberkriminellen arbeiten noch nicht in vollem Umfang damit“, erklärt Sergey Golovanov, Experte bei Kaspersky Lab. „Berücksichtigt man die Selbstverbreitungsmöglichkeiten von Neverquest, so könnte die Zahl der angegriffenen Nutzer innerhalb kurzer Zeit deutlich ansteigen“.

Von der Existenz dieses Bankers erfuhren die Experten im vergangenen Juli, als sie in einem Untergrund-Forum eine Verkaufsanzeige für einen neuen Trojaner fanden. Der Verkäufer annoncierte ihn als privaten Bot, der in der Lage ist, etwa 100 amerikanische Banken anzugreifen, und zwar mittels Codeeinschleusung in die Seiten von Websites, während diese im Internet Explorer oder Firefox geladen werden.

Das Hauptmodul von Neverquest wird mit Hilfe eines Downloaders oder Droppers ins System geladen. Diese Programme installieren unter einer willkürlichen Bezeichnung mit der Erweiterung .DAT eine DLL-Datei im Verzeichnis %appdata% und gewährleisten deren Autostart. Handelt es sich um eine Erstinfektion, so startet der Schädling bei der Initialisierung den VNC-Server und sendet eine Anfrage über den Erhalt der Konfigurationsdatei an das Steuerungszentrum. Diese verschlüsselte Datei enthält den Code zum Einschleusen in den Browser sowie eine Liste mit Bankenwebsites, in deren Seiten die schädlichen JavaScripte eingefügt werden sollen. Diese Aufstellung enthält laut Kaspersky Lab die Ressourcen großer internationaler Banken und Bezahlsysteme sowie deutscher, italienischer, türkischer und indischer Kreditinstitute.

Surft ein Infektionsopfer auf eine der Websites aus der Liste, so übernimmt das Schadprogramm die Kontrolle über die Verbindung zwischen dem Browser und dem Server. „Cyberkriminelle kommen so in der Besitz der Anmeldedaten, die der Anwender eingibt, und sie können zudem den Inhalt der Webseiten modifizieren“, erläutert Golovanov. „Alle Daten, die der Anwender auf der modifizierten Seite eingibt, werden ebenfalls an die Cyberkriminellen hinter dem Angriff weitergeleitet“. Die illegalen Transaktionen werden nach Angaben des Experten unter Verwendung eines SOCKS-Servers und der entfernten Verbindung mit dem infizierten Computer über einen VNC-Server durchgeführt. Das gestohlene Geld wird auf von den Verbrechern kontrollierte Konten überwiesen oder – um die Spuren zu verwischen – auf die Konten anderer Opfer.

Golovanov weist zudem darauf hin, dass die Liste der von Neverquest angreifbaren Banken erweitert werden kann. Die Konfigurationsdatei enthält eine Liste von Wörtern, die mit Bankentätigkeit assoziiert werden: „availablebalance“, „CheckingAccount“, „accountsummary“ usw. Entdeckt der Schädling eins dieser Wörter auf einer im Browser geöffneten Seite, so fängt der Schädling ihren Inhalt und ihre URL ab und sendet sie an die Cyberkriminellen. Auf der Grundlage dieser Daten können die Cyberkriminellen zusätzlichen Code zum Eindringen auf eine Seite entwickeln, die ursprünglich nicht in der Liste der angreifbaren Banken enthalten war. Dieser Code wird daraufhin der Auswahl an schädlichen Skripten in der Konfigurationsdatei hinzugefügt und alle infizierten Rechner erhalten das entsprechende Update.

Von allen von Neverquest angegriffenen Websites, die Kaspersky Lab identifiziert hat, ist fidelity.com für Cyberkriminelle am attraktivsten – ein Unternehmen, dessen Kunden viele Möglichkeiten zur Verwaltung ihrer Finanzen zur Verfügung stehen. Der Diebstahl solcher Konten ermöglicht es den Schädlingsbetreibern nicht nur, Geld auf ihre eigenen Konten zu transferieren, sondern auch auf den Fondsmärkten mitzuspielen.

Die von Neverquest eingesetzten Selbstverbreitungsmechanismen sind identisch zu denen von Bredolab – ein Schädling, der weltweit Millionen von Computern infiziert hat. Neverquest sammelt Identifier aus Dutzenden verschiedenen Programmen für den Zugriff auf FTP-Server; diese Informationen werden in der Folge benutzt, um diesen Schädling mit Hilfe des Exploit-Packs Neutrino auszusäen. Die Funktionalität des Trojaners sieht auch den Datendiebstahl aus den E-Mail-Clients der Opfer und während der SMTP/POP-Sessions vor, was es Online-Verbrechern ermöglicht, den Neverquest-Dropper via Spam zu versenden. Die dritte Ausbreitungsmethode stellt der Schädling bereit, indem er die Anmeldedaten für die Accounts bei sozialen Netzwerken und Webservices stiehlt, wie z.B. Facebook, Live.com, Twitter und Amazon, von denen aus in der Folge Links auf infizierte Ressourcen verbreitet werden.

„Bereits im November stießen wir auf Einträge in Hacker-Foren, die den Kauf und Verkauf von Datenbanken für den Zugriff auf Bankkonten oder von anderen Dokumenten zum Inhalt hatten, die für die Eröffnung und Verwaltung von solchen Konten verwendet werden, auf die die gestohlenen Gelder überwiesen werden können“, warnt Golovanov. „Daher erwarten wir zum Ende des Jahres massenhaft Neverquest-Attacken, die durchaus zu finanziellen Verlusten der Nutzer führen können“.

Quelle: Securelist

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.