12 march 2013, 15:15 Kaleidoscope 8868

Neverquest - cel mai mare pericol de pe internet!

Foto: jurnalul.ro

Neverquest este numele celui mai recent virus troian aruncat pe piaţă de o echipă de programatori ruşi specializaţi în infracţiuni cibernetice bancare.

Răspîndit prin media socială, email sau protocoale de transfer de fişiere, Neverquest are capacitatea de a recunoaşte cîteva sute de instrumente de banking online sau site-uri financiare care implică tranzacţii online.

Neverquest iese din hibernare atunci cînd utilizatorul unui sistem infectat iniţiază o sesiune de logare pe unui din site-urile vizate de către creatorii săi. Virusul se activează, preia controlul asupra conexiunii dintre browser şi server, înregistrînd datele introduse de client şi transferîndu-le unui server dedicat, pentru stocare.

Ulterior acestei acţiuni, atacatorul se loghează în contul clientului chiar de pe sistemul infectat, prin intermediul protocoalelor Virtual Network Computing (VPC). VPC este un sistem comandă la distanţă, de partajare în reţea a ecranelor desktop-urilor, comenzile executate prin intermediul tastaturii sau mouse-ului fiind transmise de la un sistem la altul.

Logarea făcîndu-se chiar de pe sistemul infectat, serverul instituţiei financiare nu sesizează niciun parametru diferit faţă de cei ai clientului legitim al contului, validînd conexiunea.

Pentru a ascunde urmele care ar putea să le dezvăluie identitatea, atacatorii folosesc sistemele infectate pentru a muta de mai multe ori dintr-un cont în altul sumele de bani subtilizate.

Experţii în securitate informatică avertizează asupra faptului că Neverquest este extrem de dificil de identificat de către programele antivirus, creatorii lui invalidînd aproape toate metodele prin care activitatea sa ar putea fi întreruptă.

Malware-ul conţine şi o rutină prin care caută cuvinte-cheie relaţionate mediului financiar chiar în timp ce utilizatorul computerului infectat navighează pe internet. Dacă pagina încărcată conţine unul dintre aceste cuvinte-cheie, virusul se activează şi începe interceptarea comunicaţiilor. Dacă punctul final al acestei navigări este site-ul unei instituţii financiare, noul site este adăugat automat listei care declanşează activitatea virusului, update-ul fiind transmis apoi tuturor sistemelor infectate.

Kaspersky Lab, pe blogul căruia a apărut anunţul despre aceast nou pericol cibernetic, estimează că pînă în prezent au fost infectate cîteva zeci de mii de sisteme la nivel mondial, dar că potenţialul de creştere este mare odată cu apropierea sărbătorilor de iarnă, avîndu-se în vedere eficienţa de penetrare şi versatilitatea auto-replicării acestui virus.

Kaspersky spune că a identificat cel puţin un forum undergroud pe care virusul se află de vînzare şi că după primele studii se pare că afectează doar utilizatorii browsere-lor Mozilla Firefox şi Internet Explorer, cel puţin pînă în acest moment.

Protecţia împotriva acestei noi ameninţări informatice cere mult mai mult decît activitatea unui antivirus, utilizatorii au nevoie de soluţii dedicate prin care tranzacţiile financiare online să fie securizate. În mod particular, soluţia trebuie să aibă posibilitatea de a controla procesele care rulează în timpul activităţii unui browser şi să prevină manipularea acestora de către alte aplicaţii.