Neverquest ist der Name eines neuen Bank-Trojaners, der sich über Soziale Netzwerke, E-Mail und FTP verteilt. Er besitzt die Fähigkeit, Hunderte von Online-Banking- und Finanz-Webseiten zu erkennen. Versucht ein Anwender, sich auf einer dieser Seiten einzuloggen, aktiviert sich der Trojaner und stiehlt die Zugangsdaten des Opfers.
Anschließend gibt Neverquest diese Daten an den Command&Control-Server weiter. Die Angreifer können diese dann nutzen, um sich selbst über Virtual Network Computing (VNC) in den entsprechenden Konten einzuloggen. VNC ist im Grunde ein System zum Teilen des Desktops.
Der Trojaner, den Kaspersky Lab Anfang der Woche publik gemacht hat, infizierte bereits Tausende Computer, und hat – wie Kaspersky-Experte Sergey Golovanov erklärte – das Potenzial, über die kommenden Feiertage größeren Schaden anzurichten, da er sich sehr effizient und vielseitig selbst verbreitet. Tatsächlich nutzte bereits im Jahr 2009 das Schadprogramm Bredolab die gleiche Verteilmethode, die nun auch Neverquest verwendet. Bredolab wurde zum drittverbreitetsten Schadprogramm im Internet.
„Wenn ein Nutzer mit einem infizierten Computer auf eine der Seiten auf der Liste des Trojaners zugreift, kontrolliert das Schadprogramm die Verbindung des Browsers mit dem Server“, erklärt Golovanov in einer Analyse auf Securelist. „Die Angreifer können Nutzernamen und Passwörter stehlen, die der Anwender eingibt, und den Inhalt der angezeigten Webseite verändern. Alle vom Anwender eingegebenen Daten werden auf der modifizierten Seite eingegebenen und an die Cyberkriminellen weitergeleitet.“ Sobald die Angreifer die Kontrolle über das Konto des Opfers übernommen haben, können sie es direkt leerräumen und das Geld auf ein eigenes Konto übertragen. Allerdings merkt Golovanov an, dass die Angreifer das Geld in den meisten Fällen über eine Reihe von Opfer-Konten überweisen werden. Dadurch verlagern sie Geld vom Konto eines Opfers auf das Konto eines anderen Opfers, und wiederholen diesen Prozess mehrmals, bevor sie selbst auf das Geld zugreifen – damit erschweren sie es, ihre Machenschaften zu verfolgen.
Neverquest steht auf mindestens einem Untergrundforum zum Verkauf. Der Schädling scheint nur Anwender der Browser Internet Explorer und Mozilla Firefox zu befallen, doch die Entwickler von Neverquest behaupten, dass er so modifziert werden kann, dass damit „jede Bank in jedem Land“ angegriffen werden kann. Das Schadprogramm enthält zudem eine Funktion, die nach spezifischen Bank-Schlüsselwörtern sucht, wenn der infizierte Anwender im Internet surft. Wenn ein Anwender eine Seite besucht, die diese Schlüsselwörter enthält, aktiviert sich der Trojaner, schneidet die Kommunikation des Anwenders mit und schickt diese an die Angreifer.Wenn die besuchte Seite wirklich eine Bankseite ist, wird diese von den Angreifern zur Liste der Seiten hinzugefügt, die Neverquest automatisch aktivieren. Dieses Update wird dann über die Command&Control-Infrastruktur von Neverquest an alle infizierten Computer verteilt.
Fidelity.com, die Webseite eines der weltweit größten Investmentfonds-Anbieter, scheint eines der Hauptziele des Trojaners zu sein: „Die Webseite bietet den Kunden viele Möglichkeiten, ihre Finanzen online zu verwalten“, so Golovanov dazu. „Das gibt den Cyberkriminellen die Chance, nicht nur Geld auf ihre eigenen Konten zu überweisen, sondern auch auf dem Aktienmarkt aktiv zu werden – indem sie das Konto und das Geld des Neverquest-Opfers missbrauchen.“ Neverquest wurde auch dafür entwickelt, Daten zu sammeln, wenn ein infizierter Anwender verschiedene andere Seiten besucht, die nichts mit Geld zu tun haben, unter anderem Google, Yahoo, Amazon AWS, Facebook, Twitter, Skype und viele andere.
„In den Wochen vor Weihnachten sind Cyberkriminelle traditionell sehr aktiv“, erklärt Golovanov. „Schon im November hat Kaspersky Lab Vorfälle bemerkt, bei denen in Hacker-Foren Beiträge zum Kaufen und Verkaufen von Datenbanken für den Zugriff auf Bankkonten, sowie andere Dokumente zum Eröffnen und Verwalten von Konten mit gestohlenem Geld veröffentlicht wurden. Wir erwarten, massenhafte Neverquest-Angriffe gegen Ende des Jahres, die zu zahlreichen Opfern des digitalen Diebstahls führen könnten.“
Golovanov weiter:“Für den Schutz vor Bedrohungen wie Neverquest benötigt man mehr als nur ein Standard-Antiviren-Programm. Die Anwender brauchen eine Lösung, die sichere Transaktionen erlaubt. Vor allem muss die Lösung es schaffen, den Browser-Prozess zu kontrollieren und dadurch jede Manipulation durch andere Programme auszuschließen.“