Neverquest, un cheval de Troie conçu pour voler des centaines de banques

Neverquest est un nouveau cheval de Troie qui se répand via les réseaux sociaux, les e-mails, et les protocoles de transfert de fichiers. Il a la capacité de reconnaitre des

Neverquest est un nouveau cheval de Troie qui se répand via les réseaux sociaux, les e-mails, et les protocoles de transfert de fichiers. Il a la capacité de reconnaitre des centaines de sites bancaires et financiers. Quand un utilisateur infecté essaie de s’authentifier sur l’un des sites auxquels le cheval de Troie réagit, ce dernier s’active et vole les identifiants de ses victimes.

Neverquest renvoie alors les identifiants volés à un serveur de commande et de contrôle. Ensuite, les pirates peuvent utiliser les identifiants pour rentrer dans les comptes infectés via un VNC (Virtual Network Computing). Un VNC est essentiellement un système informatique partagé qui permet aux criminels d’utiliser l’ordinateur de la victime pour accéder au compte bancaire en ligne de celle-ci et lui voler son argent. Il est presque impossible pour les banques de différencier les utilisateurs des cybercriminels.

Découvert la semaine dernière par Kaspersky Lab, le cheval de Troie a infecté des milliers d’ordinateurs mais, comme l’expert en malwares Sergey Golovanov l’explique, il a le potentiel de faire bien plus de dégâts pendant les fêtes de fin d’année à cause de ses fonctionnalités de reproduction efficaces et versatiles. D’ailleurs, en 2009, le malware Bredolab a utilisé les mêmes méthodes de distribution que Neverquest utilise actuellement. Bredolab a fini par devenir le troisième malware le plus utilisé sur Internet.

« Quand un utilisateur infecté visite l’un des sites sur la liste, le malware contrôle la connexion avec le serveur », a expliqué Golovanov dans une analyse sur Securelist. « Les utilisateurs malveillants peuvent obtenir les noms d’utilisateur et les mots de passe saisis par l’utilisateur et modifier le contenu des pages Web. Toutes les données saisies par l’utilisateur seront entrées dans la page Web modifiée et transmises aux utilisateurs malveillants. »

Le cheval de Troie a le potentiel pour faire bien plus de dégâts pendant les fêtes de fin d’année à cause de ses fonctionnalités de reproduction efficaces et versatiles.

Une fois que le pirate a le contrôle du compte de sa victime, il peut le vider complètement vers un compte qu’il contrôle. Dans de nombreux cas néanmoins, Golovanov a remarqué que les pirates déplacent l’argent à travers une série de comptes piratés. Ainsi, il transvase de l’argent du compte d’une victime vers un autre et répète ce procédé plusieurs fois avant d’obtenir directement l’argent eux-mêmes afin que leurs activités soient plus difficiles à traquer.

Neverquest est en vente sur au moins un forum du marché noir. Il semble seulement affecté les utilisateurs qui naviguent avec Internet Explorer et Mozilla Firefox, mais les créateurs de Neverquest se vante du fait qu’il peut être modifié pour attaquer « n’importe quelle banque au monde ».

Le malware contient une fonctionnalité qui recherche les mots clés liés à certains systèmes bancaires alors que l’utilisateur infecté surfe sur le Web. Si un utilisateur visite un site qui inclut ces mots clés, le cheval de Troie s’active et commence à intercepter les communications des utilisateurs et à les renvoyer aux pirates. Si le site que la victime visite est celui d’une banque, les pirates ajoutent ce site à la liste des sites sur lesquels Neverquest s’activera automatiquement. Cette mise à jour est ensuite envoyée via l’infrastructure de commande et contrôle de Neverquest vers toutes les autres machines infectées.

Fidelity.com, le site Web de l’une des sociétés de fonds communs de placement les plus importantes au monde, est l’une des cibles principales du cheval de Troie selon le rapport.

« Son site Web offre aux clients une longue liste de méthodes pour gérer leurs finances en ligne, » Golovanov a écrit sur Securelist. « Cela donne aux utilisateurs malveillants la chance de transférer des fonds en liquide vers leurs propres comptes mais aussi de jouer en bourse, en utilisant les comptes et l’argent de victimes du cheval de Troie. »

Neverquest est également conçu pour commencer à collecter des données quand un utilisateur infecté visite des sites qui ne sont pas bancaires, y compris Google, Yahoo, Amazon AWS, Facebook, Twitter, Skype et bien d’autres.

« Les semaines qui précèdent Noël et le nouvel an sont traditionnellement une période d’activité malveillante intense », a écrit Golovanov. « Dès le mois de Novembre, Kaspersky Lab a détecté des posts sur des forums dans lesquels les pirates parlaient d’acheter et de vendre des bases de données pour accéder aux comptes en banques et autres documents utilisés pour ouvrir et gérer les comptes vers lesquels les fonds volés sont transférés. Nous pouvons nous attendre à observer des attaques de  Neverquest en masse vers la fin de l’année, ce qui pourrait conduire d’autres utilisateurs à devenir les victimes de vols d’argent en ligne. »

Il a ensuite ajouté :

« La protection contre les menaces telles que Neverquest requiert bien plus qu’un antivirus classique. Les utilisateurs ont besoin d’une solution qui assure la sécurité des transactions. La solution doit être capable de contrôler le processus de fonctionnement des navigateurs et empêcher toute manipulation commandée par une autre application ».

Heureusement, Kaspersky Lab dispose d’une telle technologie : Safe Money est disponible dans Kaspersky Internet Security et Kaspersky Pure, et protège les interactions des utilisateurs avec des sites bancaires, en s’assurant notamment que les connexions chiffrés sont bien sécurisées et qu’aucun groupe externe ne contrôle le navigateur Internet.

Conseils