Nueva variante del troyano Neverquest afectando de momento a Norteamérica

Escrito por Adrián Crespo
Seguridad
0

Fue más o menos hace un año cuando tuvimos las primeras noticias relacionadas con este troyano bancario. Sin embargo, tras fechas navideñas este pasó a un segundo plano hasta prácticamente desaparecer de Internet. Sin embargo, nuevamente tenemos que hablar de Neverquest, afectando de momento a los usuarios norteamericanos, aunque no se descarta su expansión a otros países, distribuyéndose haciendo uso de páginas web falsas.

Lo primero que hay que mencionar es que en primera instancia no es el malware el que llega al equipo del usuario a través de estas páginas sino de un software que funciona a modo de intermediario y que será posteriormente el encargado de realizar la descarga del troyano en cuestión. En esta ocasión, este software intermediario también es conocido y también hemos tenido la ocasión de hablar de este, siendo en esta ocasión Zemot.

Los cambios con respecto a la variante del año pasado no terminan aquí, ya que los servidores de control se encuentran ubicados en la red Tor y además este se conecta con ellos utilizando el proxy Tor2web. Si a esto hay que sumar que las comunicaciones son cifradas estamos ante la combinación perfecta para crear problemas para localizar estos servidores por parte de las autoridades.

Una vez que el intermediario ha hecho su labor, es decir, descargar el troyano bancario, este desaparece del equipo y Neverquest se replica en procesos legítimos del sistema.

neverquest esquema de distribución de la amenaza

Robar contraseñas de los usuarios y persistencia en el sistema

Además de robar las contraseñas almacenadas en los navegadores de Internet, también ha sido diseñado para que se ejecute cada vez que el sistema operativo se inicie. El troyano sirve para recopilar información del usuario relacionada con su navegación, procediendo a la redirección de este a páginas falsas. Con esto se consigue que el usuario deje sus credenciales y recopilarlos en un servidor.

A pesar de ser un troyano bancario, expertos en seguridad hablar sobre esta variante y confirman que además del sector financiero, portales de videojuegos y redes sociales son los nuevos objetivos que se han añadido. Estos también han querido añadir que no todas las soluciones antivirus (sobre todo las gratuitas) están preparadas a día de hoy para detectar la presencia de este en el equipo. No descartan que en un plazo máximo de semana y media estén todos adaptados y actualizados, pero hasta entonces el riesgo de infección es máxima.

Fuente | Softpedia