Kaspersky Lab ha registrado varios miles de intentos de infecciones de programas maliciosos a computadoras que son utilizadas para banca en línea, que puede atacar “cualquier banco de cualquier país”. El troyano bancario Neverquest es compatible prácticamente con cualquier truco posible para eludir los sistemas de seguridad de la banca en línea: ataques de inyección contra sitios web, acceso remoto a sistemas, ingeniería social, etc. A la luz de la capacidad de autoduplicación del troyano, se prevé un aumento drástico en el número de ataques con Neverquest, con las consecuentes pérdidas financieras para usuarios de todo el mundo.
Las semanas previas a Navidad y Año Nuevo constituyen tradicionalmente un período de intensa actividad de usuarios maliciosos. Ya en noviembre hubo instancias en las que se hicieron publicaciones en foros de hackers sobre la compra y venta de bases de datos para acceder a cuentas bancarias y otros documentos utilizados para abrir y administrar las cuentas a las que se remiten los fondos robados. Neverquest apareció incluso antes en el mercado: en julio de este año se publicó un anuncio en el que se buscaba un socio para trabajar con el troyano en los servidores de un grupo de cibercriminales, con su respaldo.
Sergey Golovanov, Analista de Seguridad de Kaspersky Lab, comentó: “Luego de cerrar varios casos criminales asociados con la creación y proliferación de malware utilizado para robar información de sitios web bancarios, aparecieron unos cuantos ‘agujeros’ en el mercado negro. Nuevos usuarios maliciosos están intentando llenarlos con tecnologías e ideas nuevas. Neverquest es apenas una de las amenazas cuyo objetivo es apoderarse de las posiciones dominantes ocupadas antes por programas como ZeuS y Carberp”.
Neverquest roba nombres de usuario y contraseñas para acceder a cuentas bancarias, así como toda la información ingresada por el usuario en las páginas modificadas de un sitio web bancario. Con el fin de facilitar estos robos, se utilizan secuencias de comandos especiales para Internet Explorer y Firefox que facilitan estos robos y el control de la conexión del navegador con el servidor central de los ciberdelincuentes cuando el usuario visita alguna de las 28 páginas web de bancos que están en la lista, incluidos los que pertenecen a grandes bancos internacionales: sitios de bancos alemanes, italianos, turcos e indios, así como sistemas de pago. Otra función ayuda a los usuarios maliciosos a reponer la lista de bancos para atacar y a desarrollar código para implantarlo en nuevos sitios web que antes no estaban en la lista de potenciales blancos.
De todos los sitios seleccionados por este programa, en particular, el principal blanco parece ser un fondo de inversiones. Su sitio web ofrece a los clientes una larga lista de formas de administrar sus finanzas en línea. Esto les da a los usuarios maliciosos no solo la posibilidad de transferir fondos en efectivo a sus propias cuentas, sino también la de operar en el mercado de valores con las cuentas y el dinero de las víctimas de Neverquest.
Luego de obtener acceso a una cuenta de usuario de un sistema de banca en línea, los cibercriminales realizan transacciones y transfieren dinero desde el usuario a sus propias cuentas o (para evitar ser rastreados) a las cuentas de otras víctimas.
Para protegerse de amenazas como el Neverquest, se requiere más que un simple antivirus estándar; los usuarios necesitan una solución específica que proteja las transacciones. En particular, la solución debe poder controlar el proceso de ejecución de un navegador e impedir cualquier tipo de manipulación por parte de otras aplicaciones.