Már egy hónappal az ünnepek előtt, novemberben jegyeztek fel olyan eseteket, amelyekben hackerfórumokon különböző bankszámla- és személyes információkat tartalmazó listákat értékesítettek egymás között a csalók. A Neverquest még korábban jelent meg a piacon egy hirdetésben, amelyben partnereket kerestek egy kiberbűnözők által fenntartott trójai szerver működtetésére és támogatására idén júliusban. (Az adatlopás egyre gyakoribb probléma a kkv-k körében.)
Sergey Golovanov, a Kaspersky Lab vezető biztonsági kutató így vélekedik: „A megjelenés után több büntetőügyben is felmerült, hogy speciális vírusokat használtak az online banki rendszerek eddig kihasználatlan felületén. Az új generációs kiberbűnözők pontosan ezeket a felületeket használják ki az új technológiák és ötletek segítségével. A Neverquest csak egyike azon fenyegetéseknek, amelynek célja, hogy átvegye a már jól ismert programok (pl.: Zeusz, Carberp) helyét.”
A Kaspersky Lab véleménye szerint a Neverquest egyszerűen ellopja a bankszámlák jelszavait és az online felületeken tárolt felhasználóneveket, valamint az összes, a felhasználó által megadott adatot, ehhez speciális szkripteket használ, amelyek megkönnyítik a lopásokat. Az áldozat gépe hozzákapcsolódik a kiberbűnöző szerveréhez, így a telepített trójai követi a felhasználó hálózati kereséseit, mint például nagy nemzetközi bankok felületeit és fizetésekhez kapcsolódó oldalakat. Egy másik funkciója a károkozónak pedig segít begyűjteni azokat a célpontnak kiszemelt bankokat, amelyek eddig nem szerepeltek a támadási listán.
A kutatók szerint a Neverquest elsődleges célpontja jelenleg egy befektetési alap, amely számos online pénzügyi szolgáltatással foglalkozik, ezáltal a rosszindulatú felhasználóknak lehetőségük nyílik arra, hogy a pénzt saját számlaszámukra utalják, sőt a Neverquest-áldozatok pénzével tőzsdézzenek is. Az online banki rendszeren keresztül a felhasználók fiókjaihoz való hozzáférés után a kiberbűnözők SOCKS szervert használva VNC szerveren keresztül távolról csatlakoznak a fertőzött géphez, így bonyolítanak le tranzakciókat és utalnak át pénzt a felhasználók fiókjairól a sajátjukra, vagy – hogy a hozzájuk vezető nyomokat eltüntessék – más áldozatok fiókjaihoz mozgósítják a pénzt.
A Neverquest trójai működési mechanizmusáról bővebben itt olvashat.
