最近、カスペルスキーは、銀行のウェブサイトを標的とした新しいマルウェア「Neverquest」を発見しました。Neverquestは、銀行のウェブサイトにプラグインコードを埋め込むことで、ユーザーがIEやFirefoxで銀行のウェブサイトにアクセスした場合、約100の銀行を攻撃することができます。また、VNC やその他の方法を使用することで、Neverquest はどの国のどの銀行も攻撃することができます。ウェブインプラント、リモートシステムアクセス、ソーシャルエンジニアリングなど、オンラインバンキング攻撃で使用されるあらゆる方法をサポートしています。
Neverquestの主な機能は、%appdata%フォルダに拡張子.DATのライブラリファイル(例:qevcxcw.dat)をインストールするシステムにアドオンでインストールされたダイナミックライブラリを使用することです。regsvr32.exe /s [path to library]」がレジストリに追加されるため、「SuforationMicarosordPucionWindowsPucionCurrentVersionPucionRun."regsvr32.exe /s [path to library]"の下に追加され、このライブラリーが自動的に実行されます。その後、プログラムはこのライブラリから唯一のエクスポートコマンドを起動し、悪意のあるプログラムを初期化します。プログラムは、そのコピーが既にコンピュータにインストールされているかどうかを確認し、インストールされていない場合は、VNCサーバを起動し、設定ファイルを受信するためにコマンドセンターに最初のリクエストを送信します。設定ファイルは、aPLib関数ライブラリのzipアーカイブにパッケージされた鍵で暗号化され、コマンドセンターに送信されます。設定ファイルには、悪意のあるJavaScriptファイルのセットとWebサイトのリストが含まれており、IEまたはFirefoxが起動すると、適切なスクリプトがインストールされます。
ユーザーが感染したコンピュータでリスト内のウェブサイトのいずれかにアクセスすると、Neverquestはブラウザからサーバーへの接続を制御します。ユーザーのオンライン・バンキング・システムの口座番号を取得した後、ハッカーはSOCKSサーバーを使用して、VNCサーバー経由で感染したコンピュータにリモート接続し、ユーザーのお金を自分の口座、または疑いを避けるために別の被害者の口座に送金するオンライン取引を実行します。
ネバークエストに狙われたウェブサイトの中で、最も注目を集めたのは、世界最大級の投資信託会社である米国のフィデリティ・インベストメンツ・グループが所有するfidelity.comで、そのウェブサイトは、ユーザーにオンラインで財務を管理する様々な方法を提供していました。これにより、悪意のあるユーザーは、現金を自分の口座に送金するだけでなく、ネバークエストに攻撃された被害者の口座や資金を通じて株取引を行うことができました。
2009年、Kaspersky LabはマルウェアBredolab, Neverquestと同じ自己複製方式を使用するマルウェアを検出しました。このマルウェアには3つの拡散方法があります:
1.Neverquestは多くのデータを持っており、特定のプログラムを通じてFTPデータベースにアクセスします。これらのプログラムがデータを盗んだ後、ハッカーはNeutrinoエクスプロイトキットを使用してマルウェアをさらに拡散します。
2.Neverquestは、SMTP/POPセッション中にデータを盗むために、ユーザーのメールクライアントを使用します。ハッカーはこのデータを使用して、トロイの木馬ダウンローダーの添付ファイルを含む大量のスパムメールを送信し、Neverquest をインストールします。
3.Neverquestは、多くの一般的なソーシャルネットワーキングサービスのアカウントにアクセスしてデータを盗みます。
