新恶意软件Neverquest威胁银行网站安全

安全 应用安全
近日,卡巴斯基发现了一个针对银行网站的新恶意软件Neverquest。通过在银行网站上植入插件代码,如果用户在IE或者火狐浏览器上访问银行网站,Neverquest能够攻击约100个银行。而且使用VNC或者其他方法,Neverquest可以攻击任何国家的任何银行。

近日,卡巴斯基发现了一个针对银行网站的新恶意软件Neverquest。通过在银行网站上植入插件代码,如果用户在IE或者火狐浏览器上访问银行网站,Neverquest能够攻击约100个银行。而且使用VNC或者其他方法,Neverquest可以攻击任何国家的任何银行。它支持在线银行攻击使用的每种方法:网页植入,远程系统访问,社会工程等等。

Neverquest的主要功能在使用安装在系统的一个附加程序(如木马下载器或者木马植入器)的动态函数库中,这种程序在%appdata%文件夹下安装某个扩展名为.DAT(比如qevcxcw.dat)的函数库文件。因为在注册表“Software\Microsoft\Windows\CurrentVersion\Run.”下添加了“regsvr32.exe /s [path to library]”,这个函数库会自动运行。然后,该程序开始从这个函数库中启动唯一的导出命令,初始化恶意程序。该程序查看电脑中是否已经安装它的副本,如果没有,它会启动VNC服务器,给命令中心发送第一个请求,以收到一个配置文件。配置文件通过一个由aPLib函数库压缩包打包的密钥加密,然后传送给命令中心。配置文件有一组恶意JavaScript文件和一个网站列表,当启动IE或者火狐浏览器时,将安装相应的脚本。

当用户在受感染的电脑上访问列表中的某个网站,Neverquest会控制浏览器与服务器的连接。在获得用户在线银行系统账号后,黑客使用SOCKS服务器,通过VNC服务器远程连接到受感染的电脑,然后进行在线交易,将用户的钱转移到自己账户,或者为了避嫌,转移到其他受害者账户。

在所有被Neverquest盯上的网站中,美国富达投资集团旗下的fidelity.com最受瞩目,该公司是全球最大的互助投资基金公司之一,它的网站为用户提供很多方式管理在线财务。这让恶意用户不仅能够将现金转移到自己的账户,还能通过被Neverquest攻击的受害者的账户和钱财进行股票交易。

在2009年,卡巴斯基实验室检测到恶意软件Bredolab,Neverquest使用和它一样的自我复制方法。它有三种传播方式:

1.Neverquest有很多数据,它们通过某些程序访问FTP数据库。这些程序窃取数据后,黑客使用Neutrino利用工具包,进一步传播该恶意软件。

2.Neverquest使用用户邮件客户端,在SMTP/POP会话期间窃取数据。黑客通过这些数据,大量发送包含木马下载器附件的垃圾邮件,然后安装Neverquest,这些邮件看起来特别像不同服务提供商的官方邮件。

3. Neverquest通过访问很多流行的社交网络服务账户窃取数据。

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2015-04-22 15:24:31

2019-09-30 15:13:44

恶意程序恶意网站网络安全

2012-12-06 10:59:04

2012-12-27 14:12:23

2012-08-27 09:44:26

2013-07-27 20:01:11

恶意软件

2011-11-22 08:52:49

2012-04-16 11:13:22

2011-08-30 10:41:12

2020-03-11 10:23:34

黑客安全证书恶意软件

2019-11-20 15:09:25

安全威胁SSL加密

2021-12-15 11:36:01

恶意软件Anubis攻击

2023-03-14 16:05:36

2014-05-15 09:51:19

2021-03-15 09:27:36

恶意软件TrickBot僵尸网络

2015-11-09 10:24:46

2023-10-18 12:18:47

2011-06-07 14:58:03

2014-11-07 11:20:19

2016-01-06 14:53:18

点赞
收藏

51CTO技术栈公众号