{"id":2029,"date":"2013-11-29T11:00:48","date_gmt":"2013-11-29T11:00:48","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=2029"},"modified":"2020-02-26T18:30:34","modified_gmt":"2020-02-26T16:30:34","slug":"neverquest-trojaner-entwickelt-fur-den-diebstahl-aus-hunderten-von-banken","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/neverquest-trojaner-entwickelt-fur-den-diebstahl-aus-hunderten-von-banken\/2029\/","title":{"rendered":"Neverquest-Trojaner: Entwickelt f\u00fcr den Diebstahl aus Hunderten von Banken"},"content":{"rendered":"

Neverquest <\/a>ist der Name eines neuen Bank-Trojaners, der sich \u00fcber Soziale Netzwerke, E-Mail und FTP verteilt. Er besitzt die F\u00e4higkeit, Hunderte von Online-Banking- und Finanz-Webseiten zu erkennen. Versucht ein Anwender, sich auf einer dieser Seiten einzuloggen, aktiviert sich der Trojaner und stiehlt die Zugangsdaten des Opfers.<\/p>\n

Anschlie\u00dfend gibt Neverquest diese Daten an den Command&Control-Server weiter. Die Angreifer k\u00f6nnen diese dann nutzen, um sich selbst \u00fcber Virtual Network Computing (VNC) in den entsprechenden Konten einzuloggen. VNC ist im Grunde ein System zum Teilen des Desktops.<\/p>\n

Der Trojaner, den Kaspersky Lab Anfang der Woche publik gemacht hat<\/a>, infizierte bereits Tausende Computer, und hat \u2013 wie Kaspersky-Experte Sergey Golovanov erkl\u00e4rte \u2013 das Potenzial, \u00fcber die kommenden Feiertage gr\u00f6\u00dferen Schaden anzurichten, da er sich sehr effizient und vielseitig selbst verbreitet. Tats\u00e4chlich nutzte bereits im Jahr 2009 das Schadprogramm Bredolab die gleiche Verteilmethode, die nun auch Neverquest verwendet. Bredolab wurde zum drittverbreitetsten Schadprogramm im Internet.<\/p>\n

\u201eWenn ein Nutzer mit einem infizierten Computer auf eine der Seiten auf der Liste des Trojaners zugreift, kontrolliert das Schadprogramm die Verbindung des Browsers mit dem Server\u201c, erkl\u00e4rt Golovanov in einer Analyse auf Securelist. \u201eDie Angreifer k\u00f6nnen Nutzernamen und Passw\u00f6rter stehlen, die der Anwender eingibt, und den Inhalt der angezeigten Webseite ver\u00e4ndern. Alle vom Anwender eingegebenen Daten werden auf der modifizierten Seite eingegebenen und an die Cyberkriminellen weitergeleitet.\u201c Sobald die Angreifer die Kontrolle \u00fcber das Konto des Opfers \u00fcbernommen haben, k\u00f6nnen sie es direkt leerr\u00e4umen und das Geld auf ein eigenes Konto \u00fcbertragen. Allerdings merkt Golovanov an, dass die Angreifer das Geld in den meisten F\u00e4llen \u00fcber eine Reihe von Opfer-Konten \u00fcberweisen werden. Dadurch verlagern sie Geld vom Konto eines Opfers auf das Konto eines anderen Opfers, und wiederholen diesen Prozess mehrmals, bevor sie selbst auf das Geld zugreifen \u2013 damit erschweren sie es, ihre Machenschaften zu verfolgen.<\/p>\n

Neverquest steht auf mindestens einem Untergrundforum zum Verkauf. Der Sch\u00e4dling scheint nur Anwender der Browser Internet Explorer und Mozilla Firefox zu befallen, doch die Entwickler von Neverquest behaupten, dass er so modifziert werden kann, dass damit \u201ejede Bank in jedem Land\u201c angegriffen werden kann. Das Schadprogramm enth\u00e4lt zudem eine Funktion, die nach spezifischen Bank-Schl\u00fcsselw\u00f6rtern sucht, wenn der infizierte Anwender im Internet surft. Wenn ein Anwender eine Seite besucht, die diese Schl\u00fcsselw\u00f6rter enth\u00e4lt, aktiviert sich der Trojaner, schneidet die Kommunikation des Anwenders mit und schickt diese an die Angreifer.Wenn die besuchte Seite wirklich eine Bankseite ist, wird diese von den Angreifern zur Liste der Seiten hinzugef\u00fcgt, die Neverquest automatisch aktivieren. Dieses Update wird dann \u00fcber die Command&Control-Infrastruktur von Neverquest an alle infizierten Computer verteilt.<\/p>\n

Fidelity.com, die Webseite eines der weltweit gr\u00f6\u00dften Investmentfonds-Anbieter, scheint eines der Hauptziele des Trojaners zu sein: \u201eDie Webseite bietet den Kunden viele M\u00f6glichkeiten, ihre Finanzen online zu verwalten\u201c, so Golovanov dazu. \u201eDas gibt den Cyberkriminellen die Chance, nicht nur Geld auf ihre eigenen Konten zu \u00fcberweisen, sondern auch auf dem Aktienmarkt aktiv zu werden \u2013 indem sie das Konto und das Geld des Neverquest-Opfers missbrauchen.\u201c Neverquest wurde auch daf\u00fcr entwickelt, Daten zu sammeln, wenn ein infizierter Anwender verschiedene andere Seiten besucht, die nichts mit Geld zu tun haben, unter anderem Google, Yahoo, Amazon AWS, Facebook, Twitter, Skype und viele andere.<\/p>\n

\u201eIn den Wochen vor Weihnachten sind Cyberkriminelle traditionell sehr aktiv\u201c, erkl\u00e4rt Golovanov. \u201eSchon im November hat Kaspersky Lab Vorf\u00e4lle bemerkt, bei denen in Hacker-Foren Beitr\u00e4ge zum Kaufen und Verkaufen von Datenbanken f\u00fcr den Zugriff auf Bankkonten, sowie andere Dokumente zum Er\u00f6ffnen und Verwalten von Konten mit gestohlenem Geld ver\u00f6ffentlicht wurden. Wir erwarten, massenhafte Neverquest-Angriffe gegen Ende des Jahres, die zu zahlreichen Opfern des digitalen Diebstahls f\u00fchren k\u00f6nnten.\u201c<\/p>\n

Golovanov weiter:\u201cF\u00fcr den Schutz vor Bedrohungen wie Neverquest ben\u00f6tigt man mehr als nur ein Standard-Antiviren-Programm. Die Anwender brauchen eine L\u00f6sung, die sichere Transaktionen<\/a> erlaubt. Vor allem muss die L\u00f6sung es schaffen, den Browser-Prozess zu kontrollieren und dadurch jede Manipulation durch andere Programme auszuschlie\u00dfen.\u201c<\/p>\n","protected":false},"excerpt":{"rendered":"

Neverquest ist der Name eines neuen Bank-Trojaners, der sich \u00fcber Soziale Netzwerke, E-Mail und FTP verteilt. Er besitzt die F\u00e4higkeit, Hunderte von Online-Banking- und Finanz-Webseiten zu erkennen. Versucht ein Anwender, sich auf einer dieser Seiten einzuloggen, aktiviert sich der Trojaner und stiehlt die Zugangsdaten des Opfers. <\/p>\n","protected":false},"author":32,"featured_media":2033,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[669,93,787,223],"class_list":{"0":"post-2029","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-bank-trojaner","9":"tag-diebstahl","10":"tag-neverquest","11":"tag-online-banking"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/neverquest-trojaner-entwickelt-fur-den-diebstahl-aus-hunderten-von-banken\/2029\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/bank-trojaner\/","name":"Bank-Trojaner"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2029","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=2029"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2029\/revisions"}],"predecessor-version":[{"id":22640,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2029\/revisions\/22640"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/2033"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=2029"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=2029"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=2029"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}