Datendieb

Banking-Schädling Neverquest zielt auf Börse

Ein Trojanisches Pferd namens Neverquest enthält eine erweiterbare Liste international agierender Geldinstitute und soll in der Lage sein, sich selbst weiter zu verbreiten. Hauptziel der Täter scheinen Investmentfonds zu sein.

Banking-Schädling Neverquest zielt auf Börse

© Hersteller/Archiv

Banking-Schädling Neverquest zielt auf Börse

In den letzten Monaten sind einige Fälle von Online-Kriminalität aufgeklärt worden, in denen die Entwicklung und Verbreitung von Schädlingen eine Rolle gespielt hat, die Bankdaten stehlen. Das hat eine Lücke im Angebot solcher Schädlinge in den Untergrundmarktplätzen hinterlassen, wo solche Malware angeboten wird. Neue Tätergruppen versuchen diese Marktlücke zu füllen. Der Schädling Neverquest ist einer von mehreren neuen Mitspielern, die die marktbeherrschende Position der Schädlingsfamilien Zeus/Zbot und Caberp schwächen könnten.

Der Antivirushersteller Kaspersky Lab hat eine Analyse dieses Banking-Trojaners veröffentlicht, der als "Trojan-Banker.Win32/64.Neverquest" erkannt wird. Neverquest ist seit Sommer dieses Jahres auf dem Markt. Kaspersky Lab hat bis Mitte November weltweit mehrere tausend Infektionen mit diesem Schädling verzeichnet. Da sich Neverquest selbst weiter verbreiten könne, sei ein signifikanter Anstieg der Infektionen in relativ kurzer Zeit möglich, schreibt Sergej Golovanow in der Analyse.

Ein Downloader, der per Mail und über kompromittierte Websites verbreitet wird, schleust den Schädling als dynamische Programmbibliothek (DLL) ein. Die Datei landet im Verzeichnis %APPDATA% und trägt einen zufälligen Dateinamen sowie die Endung ".dat". Das Laden des Schädling mit dem Windows-Start wird durch einen Eintrag im üblichen RUN-Schlüssel der Windows-Registry sicher gestellt.

Mit Hilfe spezieller Scripte kann Neverquest im Internet Explorer und in Firefox Formulardaten abfangen, die Benutzer auf bestimmten Banken-Websites eingeben. Neverquest enthält eine Liste mit 28 Banken-Websites, deren Formulare es auswerten kann. Darunter sind international tätige Geldinstitute und Online-Bezahldienste. Die Täter, die den Schädling erwerben, um ihn selbst einzusetzen, können diese Liste erweitern.

Das Hauptziel scheint allerdings eine Plattform zur Verwaltung von Investmentfonds zu sein. Mit ausspionierten Zugangsdaten für diese Website können die Täter nicht nur die Konten plündern, sondern mit dem Geld der Opfer auch an der Börse spekulieren. Gerade die Vorweihnachtszeit ist traditionell Hochsaison für Online-Kriminelle. Viele potenzielle Opfer tätigen ihre Weihnachtseinkäufe im Internet und sind lohnende Ziele.

image.jpg

© Archiv

Der Schädling "Neverquest" ist wahrscheinlich in der Lage sich selbstständig weiter zu verbreiten.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…