Neverquest: Gefährlicher Banking-Trojaner vor Massenverbreitung

Schadsoftware repliziert sich selbst, stiehlt Geld von Online-Banking-Kunden und kann an der Börse spekulieren

[datensicherheit.de, 27.11.2013] Kaspersky Lab gibt Details über einen aktuellen und gefährlichen Banking-Trojaner mit dem Namen „Neverquest“ (Trojan-Banker.Win32/64Neverquest) bekannt [1]. Der Trojaner hat bisher weltweit tausende Computer attackiert, die für Online-Banking genutzt werden. Er ist zudem in der Lage, sich selbst zu replizieren. Kaspersky Lab geht daher von einem Anstieg der „Neverquest“-Attacken weltweit aus. Die Hintermänner von „Neverquest“ attestieren ihrem Schadprogramm, jede Bank in jedem beliebigen Land angreifen zu können. Auf der Angriffsliste des Trojaners ist auch Deutschland vertreten. Der Banking-Trojaner unterstützt alle möglichen Tricks, um Sicherheitssysteme beim Online-Banking zu umgehen, wie beispielsweise Web Injection, System-Zugang per Fernzugriff oder Social Engineering.

Traditionell sind Cyberkriminelle in der Vorweihnachtszeit sehr aktiv. Bereits zu Beginn des Monats November 2013 gab es in Hacker-Foren einen regen Austausch über den Kauf und Verkauf von Datensätzen für den Zugang zu Bankkonten sowie weiteren Dokumenten, mit denen Konten geöffnet und verwaltet werden können, an die gestohlene Geldmittel versendet werden. „Neverquest“ erschien bereits zuvor auf dem Cyberschwarzmarkt – so wurde im Juli 2013 eine Anzeige veröffentlicht, über die die Cyberkriminellen einen Partner suchten, der mit dem Banking-Trojanern auf den Servern der Gruppe arbeiten sollte.

„Nachdem mehrere Fälle von Cyberkriminalität erfolgreich aufgeklärt wurden, die mit der Entwicklung und Verbreitung von Schadprogrammen für den Diebstahl von Bankdaten auf Webseiten genutzt wurden, gab es ein Vakuum auf dem Schwarzmarkt. Neue Cyberkriminelle versuchten dieses Vakuum mit neuen Technologien und Ideen zu füllen“, so Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. „,Neverquest‘ ist nur einer von mehreren Schädlingen, der die führende Position den Banking-Trojanern ZeuS und Carberp streitig machen möchte.“

28 Banken und Bezahldienste auf der Angriffsliste

„Neverquest“ stiehlt Nutzernamen und Passwörter von Bankkonten sowie Daten, die von Anwendern auf manipulierten Webseiten von Banken eingebeben werden. Spezielle Skripte für die Browser Internet Explorer und Firefox ermöglichen den Datendiebstahl, indem sie dem Schädling Kontrolle über die Browser-Verbindung mit den Steuerungs-Servern der Cyberkriminellen ermöglichen. Dies geschieht, sobald Seiten aufgerufen werden, die auf einer Liste mit 28 Webseiten stehen. Darunter sind große internationale Banken – unter anderem auch aus Deutschland – sowie Online-Bezahldienste. Mit einer weiteren Funktion können Cyberkriminelle ihre Liste mit neuen anvisierten Banken auffüllen und den Code auf neuen Webseiten platzieren, die zuvor nicht auf der Liste kompromittierter Websites standen.

Nach dem Zugriff auf ein Benutzerkonto eines Online-Banking-Systems, transferieren die Cyberkriminellen Geld der Opfer auf eigene Konten oder auf Konten anderer Opfer.

„Neverquest“ spekuliert an der Börse

Das Hauptziel von „Neverquest“ scheint bisher eine Plattform für die Verwaltung von Investmentfonds zu sein. Erlangen die Cyberkriminellen Zugang zu den gehackten Accounts, können sie mit dem Trojaner nicht nur Geldbeträge auf ihre eigenen Konten transferieren, sondern auch an der Börse spekulieren – und zwar mit den Accounts und dem Geld der „Neverquest“-Opfer.

[1] http://www.securelist.com/en/analysis/204792315/Online_banking_faces_a_new_threat