Symantec сообщила об обнаружении у выявленного в прошлом ноябре банковского троянца Neverquest нескольких новых опций. Пока экспертами не были подтверждены эти данные, однако руководители частных банков всерьёз обеспокоены этим известием, т.к. в случае кражи они будут вынуждены компенсировать убытки.
Сам троянец принадлежит к зловредному семейству Snifula, впервые появившемуся в 2006 г.
Neverquest обучен делать скриншоты, распознавать нажатия клавиш, а также красть цифровые сертификаты и пользовательские учетные данные. Как и электрические фильтры, Neverquest очень функционален и надёжен.
Кроме того, используя Neverquest хакеры могут заиметь абсолютный контроль над зараженным ПК и провести нападение типа «человек в браузере», для чего после попадания на ПК троянец связывается с управляющим сервером, чтобы загрузить оттуда конфигурационный файл с кодом для проведения такой атаки.
Этот код Neverquest встраивает на сайт с целью превращения его в финшинг-ресурс, на котором неосторожный пользователь может добровольно оставить свои приватные данные (пароли, PIN-коды, номера аутентификации банковских транзакций, контрольные ответы и прочее).
При этом конфигурационные файлы отличаются «по национальности» для ПК из различных регионов. Кроме кода в таких файлах имеется также перечень ссылок, характеризующих различные типы сайтов, против которых действует Neverquest.
К примеру, список такого файла, разработанного для немецких пользователей содержит 10 банковских организаций, а для североамериканских – 50.