Cảnh báo mã độc chuyên trộm tiền trực tuyến cuối năm

Neverquest là một loại trojan mới chuyên tấn công ngân hàng trực tuyến thông qua truyền thông xã hội, email và các giao thức truyền tập tin. Nó có khả năng nhận dạng hàng trăm ngân hàng trực tuyến và các trang web tài chính khác. Khi một máy tính bị nhiễm đăng nhập vào một trong những trang web ngân hàng, Neverquest sẽ tự kích hoạt và đánh cắp thông tin người dùng nạn nhân của nó.

Neverquest là một loại trojan mới chuyên tấn công dựa trên hàng loạt ngân hàng trực tuyến

Neverquest sau đó chuyển tiếp các thông tin bị đánh thành một lệnh và kiểm soát máy chủ. Khi đó, những kẻ tấn công có thể sử dụng các thông tin để đăng nhập vào các tài khoản bị ảnh hưởng thông qua mạng máy tính ảo (VNC ). VNC là một hệ thống chia sẻ dành cho máy tính bàn. Vì vậy những tên tội phạm về cơ bản sử dụng máy tính của chính nạn nhân để đăng nhập vào tài khoản ngân hàng trực tuyến của họ và thực hiện các hành vi trộm cắp. Nó khiến các ngân hàng không thể phân biệt được đó là người dùng hợp pháp hay tội phạm mạng.

Kaspersky Lab vừa công bố đầu tuần này, các trojan đã lây nhiễm đến hàng ngàn tài khoản người dùng. Theo chuyên gia Sergey Golovanov chuyên về phần mềm độc hại giải thích, trojan này có thể gây thiệt hại nhiều hơn nữa trong suốt kỳ nghỉ lễ vì tính năng tự sao chép hiệu quả và linh hoạt của nó. Năm 2009, mã độc Bredolab đã sử dụng cùng một phương pháp phát tán mà Neverquest hiện đang sử dụng. Bredolab chính là yếu tố cực kỳ nguy hiểm xếp thứ ba trong việc phát tán rộng rãi nhất các phần mềm độc hại trên Internet.

" Khi một tài khoản người dùng bị nhiễm độc ghé thăm một trong những trang web trong danh sách, mã độc sẽ kiểm soát kết nối của trình duyệt với máy chủ, " chuyên gia bảo mật Golovanov giải thích trong một phân tích trên trang bảo mật Securelist.com. "Mã độc trong ngân hàng này sẽ đánh cắp thông tin như tên và mật khẩu của nạn nhân sau đó tự sửa đổi nội dung trang cá nhân của họ. Tất cả các dữ liệu có sẵn của người dùng này sẽ được nhập vào các trang web chỉnh sửa và chuyển vào tài khoản người dùng độc hại. "

Một khi kẻ tấn công có kiểm soát tài khoản của nạn nhân, chúng có thể xóa sạch hoàn toàn những gì trong tài khoản đó dưới quyền kiểm soát của chúng. Nhưng chúng lại không làm vậy mà trong nhiều trường hợp, chuyên gia Golovanov lưu ý rằng, những kẻ tấn công đã thực hiện chuyển tiền bị đánh cắp thông qua một loạt các tài khoản của nạn nhân. Bằng cách này, chúng đổ tiền từ tài khoản của nạn nhân vào nhiều tài khoản khác và lặp lại quá trình này nhiều lần trước khi trực tiếp chuyển tiền đó vào tài khoản của mình. Điều này khiến nó khó có thể bị theo dõi hơn.

Cảnh báo mã độc chuyên trộm tiền trực tuyến cuối năm

Neverquest được rao bán trên diễn đàn của thế giới ngầm. Nó dường như chỉ ảnh hưởng đến người dùng trình duyệt Internet Explorer và Mozilla Firefox. Nhưng những kẻ tạo nên Neverquest tuyên bố rằng có thể sửa đổi trojan này để nó có thể tấn công “bất kỳ ngân hàng nào ở bất kỳ nước nào".

Mã độc này cũng có tính năng tìm kiếm, nhận dạng các từ khóa liên quan đến ngân hàng cụ thể trong khi người sử dụng bị nhiễm độc lướt web. Nếu người dùng truy cập trang web bao gồm các từ khóa này, trojan tự động kích hoạt, bắt đầu chặn thông tin liên lạc của người dùng và gửi chúng trở lại cho máy chủ của kẻ tấn công. Nếu trang web nạn nhân đến thăm là một một ngân hàng, những kẻ tấn công sẽ thêm trang web mới này vào danh sách các trang web tự động kích hoạt Neverquest. Bản cập nhật này sau đó được gửi cùng lúc thông qua lệnh kiểm soát cơ sở hạ tầng của Neverquest cho tất cả các máy tính bị nhiễm khác .

Theo báo cáo, trang web Fidelity.com của một trong những công ty đầu tư quỹ hỗ trợ lớn nhất thế giới là một trong những mục tiêu hàng đầu của trojan này.

" Fidelity.com là trang cung cấp cho khách hàng một danh sách dài các cách để quản lý tài chính trực tuyến ", chuyên gia Golovanov đã viết trên Securelist. " Điều này cho phép tài khoản độc có cơ hội không chỉ chuyển tiền mặt vào tài khoản của chúng, mà còn để chơi chứng khoán với tài khoản và số tiền của các nạn nhân trojan Neverquest . "

Trang Fidelity.com của một trong những công ty đầu tư quỹ hỗ trợ lớn nhất thế giới là một trong những mục tiêu hàng đầu của trojan này.

Neverquest cũng được thiết kế để tiến hành thu thập dữ liệu khi người dùng bị nhiễm độc ghé thăm bất kỳ các trang web không liên quan đến tài chính như Google , Yahoo, Amazon AWS , Facebook, Twitter, Skype và nhiều hơn nữa.

" Những tuần trước ngày Giáng sinh và Năm Mới là thời điểm các tài khoản độc hại này hoạt động nhiều nhất ", ông  Golovanov cho biết. " Ngay từ tháng mười một, Kaspersky Lab đã lưu ý thông tin từ bên trong các diễn đàn của hacker chuyên mua bán cơ sở dữ liệu nhằm truy cập vào tài khoản ngân hàng, các tài liệu khác được dùng để mở và quản lý các tài khoản nạn nhân. Có thể có hàng loạt các cuộc tấn công hàng loạt của Neverquest vào cuối năm, dẫn đến nhiều người dùng trở thành nạn nhân của hành vi trộm cắp tiền trực tuyến. "

" Bảo vệ chống lại các mối đe dọa như trojan Neverquest đòi hỏi nhiều hơn giải pháp chỉ chống virus căn bản. Người dùng cần một giải pháp chuyên dụng kiểm soát chặt chẽ các giao dịch. Đặc biệt, các giải pháp bảo mật này phải có khả năng kiểm soát hoạt động của các trình duyệt đang chạy và ngăn chặn bất kỳ thao tác từ các ứng dụng khác".
 Kaspersky Lab đã nghiên cứu và cung cấp giải pháp như vậy mang tên Safe Money. Là một trong những tính năng của phần mềm bảo mật của Kaspersky Internet Security và Kaspersky PURE, nó bảo mật các hoạt động của người dùng lên quan đến tài khoản tài chính, ngân hàng trực tuyến đặc biệt là sự sự an toàn của các kết nối được mã hóa và không có kiểm soát trình duyệt web của bên thứ ba.

Việc sử dụng một phần mềm bảo mật cho thiết bị di động Android cũng có thể giúp bạn an tâm trước các mối nguy hại. Hiện tại, từ ngày 3/12-31/12/2013, sản phẩm bảo mật toàn diện chuyên dùng cho thiết bị Androi Kaspersky Internet Security for Android đang trong chương trình hỗ trợ giảm giá 40%. Với phần mềm này bạn có thể an tâm về những ứng dụng Android mà máy mình tải về. Bạn có thể tìm hiểu thông tin và mua ngay tại đây.

Theo Kaspersky Blog