Nuevamente tenemos que hablar de Neverquest, afectando de momento a los
usuarios norteamericanos, aunque no se descarta su expansión a otros países,
distribuyéndose haciendo uso de páginas web falsas.
Lo
primero que hay que mencionar es que en primera instancia no es el malware el
que llega al equipo del usuario a través de estas páginas sino de un software
que funciona a modo de intermediario y que será posteriormente el encargado de
realizar la descarga del troyano en cuestión. En esta ocasión, este software
intermediario también es conocido y también hemos tenido la ocasión de hablar
de este, siendo en esta ocasión Zemot.
Los
cambios con respecto a la variante del año pasado no terminan aquí, ya que los
servidores de control se encuentran ubicados en la red Tor y además este se
conecta con ellos utilizando el proxy Tor2web. Si a esto hay que sumar que las
comunicaciones son cifradas estamos ante la combinación perfecta para crear
problemas para localizar estos servidores por parte de las autoridades.
Una
vez que el intermediario ha hecho su labor, es decir, descargar el troyano
bancario, este desaparece del equipo y Neverquest se replica en procesos
legítimos del sistema.
Robar
contraseñas de los usuarios y persistencia en el sistema
- Además de robar las contraseñas
almacenadas en los navegadores de Internet, también ha sido diseñado para
que se ejecute cada vez que el sistema operativo se inicie. El troyano
sirve para recopilar información del usuario relacionada con su
navegación, procediendo a la redirección de este a páginas falsas. Con
esto se consigue que el usuario deje sus credenciales y recopilarlos en un
servidor.
- A pesar de ser un troyano
bancario, expertos en seguridad hablar sobre esta variante y confirman que
además del sector financiero, portales de videojuegos y redes sociales son
los nuevos objetivos que se han añadido. Estos también han querido añadir
que no todas las soluciones antivirus (sobre todo las gratuitas) están
preparadas a día de hoy para detectar la presencia de este en el equipo.
No descartan que en un plazo máximo de semana y media estén todos
adaptados y actualizados, pero hasta entonces el riesgo de infección es
máxima.