Mã độc đánh cắp thẻ ngân hàng lây từ Windows sang Android

Neverquest: Trojan đe dọa người sử dụng ngân hàng trực tuyến

Theo các chuyên gia từ Kaspersky Lab: "Một Trojan mới với mục tiêu tấn công người sử dụng các dịch vụ tài chính trực tuyến có khả năng lây lan rất nhanh chóng trong một vài tháng tới".

Các malware này được giới thiệu lần đầu trên các diễn đàn của tội phạm mạng vào tháng 7 vừa qua. Theo các chuyên gia từ Kaspersky Lab nó được gọi với tên là Trojan-Banker.Win32/64.Neverquest.

Vào thứ 3 vừa qua, chuyên gia của Kaspersky Lab - Ông Sergey Golovanov đã viết trên Blog của mình: "Trong khoảng thời gian giữa tháng 11, Kaspersky Lab đã ghi nhận hàng ngàn cuộc tấn công cố gắng lây nhiễm Neverquest từ khắp nơi trên thế giới". Ông cũng cho biết: " Mối đe dọa này tương đối mới và tội phạm mạng vẫn chưa dùng hết khả năng của nó, tuy nhiên với khả năng lây lan siêu nhanh của mình, trong thời gian ngắn sắp tới Neverquest có thể gia tăng đáng kể số lượng máy tính bị lây nhiễm."

Neverquest có hầu hết những tính năng của một malware, Neverquest có thể sửa đổi các nội dung được mở bởi IE và Firefox, ăn cắp các tài khoản người dùng cùng mật khẩu của họ trên các Website và sau đó kiểm soát các máy tính bị nhiễm bằng một máy tính ảo - VNC (Vitual Network Computing).

Ngoài những điểm kể trên, có thể kể đến vài tính năng nổi bật của Neverquest, làm các nhà bảo mật của Kaspersky rất quan tâm đến:

Cấu hình mặc định của nó xác định mục tiêu là 28 Website thuộc về các ngân hàng quốc tế lớn cũng như các dịch vụ thanh toán trực tuyến phổ biến trên thế giới. Ngoài 28 trang web này Neverquest còn có thể xác định được các trang Web khác thông qua các truy cập của nạn nhân với các từ khóa nhất định như: balance, checking account và account summary.... Điều này giúp tin tặc có thể xác định thêm các mục tiêu mới cho malware và xây dựng các kịch bản tấn công tương tự.

Thông tin tài khoản ngân hàng là mục tiêu của Neverquest.

Các phương pháp được tin tặc sử dụng để lây lan Neverquest khá giống với cách mà botnet Bredolab sử dụng - một trong những malware phổ biến nhất trong năm 2010.

Neverquest đánh cắp thông tin đăng nhập từ giao thức FTP (File Transfer Protocal), thông qua một phần mềm bạn cài đặt trên máy tính của mình. Sau đó tin tặc tiếp tục khai thác các lỗ hổng trong các trình cắm (plug-in) được cài đặt trong trình duyệt để cài đặt Neverquest lên máy họ.

Các chương trình Trojan cũng đánh cắp thông tin từ mail của khác hàng qua các giao thức như SMTP (Simple Mail Transfer Protocol) và POP (Post Office Protocol), dữ liệu ăn cắp được tin tặc sử dụng để gửi thư rác, đính kèm phần mềm độc hại.

Một Email nặc danh từ Neverquest.

Ngoài đối tượng là người sử dụng các dịch vụ tài chính trực tuyến, Neverquest còn đánh cặp lượng lớn thông tin đăng nhập từ các mạng xã hội và dịch vụ chat trên các trang Web bị nhiễm. Các tài khoản này giúp Neverquest lây lan nhanh qua các tài khoản bạn bè khác của họ.

Ngay từ tháng 11, Kaspersky Lab đã ghi nhận trường hợp mua bán cơ sở dữ liệu để truy cập vào các tài khoản ngân hàng và các tài liệu khác được sử dụng cho việc mở và quản lí tài khoản, bởi các tin tặc trong diễn đàn. Golovanov nói, "Chúng ta hãy chờ đợi để xem các cuộc tấn công hàng loạt của của Neverquest vào cuối năm, và người dùng sẽ là nạn nhân của việc này".

Theo Securelist